Die Sicherheitsexperten von Kaspersky haben eine ungewöhnliche Hacker-Kampagne beobachtet . Über ein Leck in Cisco-Switches wurden Nutzer vor allem in Russland und Iran angegriffen. Der Netzwerkausrüster hatte vor einigen Wochen einen Fix für das Leck in dem Protokoll Smart Install veröffentlicht.
Ein Angreifer kann über Smart Install Messages die Start-Konfiguration ändern und damit ein neues Image des Netzwerk-Betriebssystems IOS installieren. Der Angreifer kann dann beliebigen Code ausführen.
Jetzt warnt Cisco erneut vor Missbrauch dieses Protokolls. Der Hersteller hat offenbar einen deutlichen Zuwachs bei Scans nach verwundbaren Smart Clients bemerkt. Laut Cisco sollen Hacker mit staatlichem Hintergrund versuchen, diese Lecks bei Organisationen mit kritischen Infrastrukturen auszunutzen. Auch das US-CERT warnt vor einer höheren Aktivität rund um dieses Leck durch die Hackergruppe Dragonfly.
Report: State of Digital Transformation EMEA 2019
Jetzt haben unbekannte einen Bot entwicklet, der über die IoT-Suchmaschine Shodan nach angreifbaren Switchen sucht und dann automatisiert die Angriffe auf die Switche durchführt. Der Angreifer überschreibt dann die Konfigurationsdatei und blendet dann eine Calling-Card mit dem Text: „Don’t mess with out elections…. –JHT usafreedom_jht@tutanota.com“. Tutanota ist ein alternativer Anbieter verschlüsselter Mailboxen. Anschließend wird der Switch deaktiviert. Laut Kaspersky werden vor allem russische Rechenzentren und Internet Service Provider auf diese Weise angegriffen.
Gegenüber Motherboard erklärte der Inhaber der Adresse, dass man einfach genug von den staatlich gestützten Cyberattacken auf die Vereinigten Staaten hätte und man auf diese Weise ein Zeichen setzen wollte. Man habe zwar auch in anderen Ländern nach verwundbaren Switchen gescannt, jedoch nur Geräte in Russland und Iran angegriffen. Die Hacker sollen sogar unsichere Switche in den USA und im vereinigten Königreich gepatcht, das heißt sicher konfiguriert haben. Talos, Ciscos Sicherheitsforschungsteam geht davon aus, dass knapp 170.000 Instanzen mit Smart Install nicht richtig konfiguriert wurden. Daher veröffentlichte Cisco auch noch eine weitere Warnung, weil zahlreiche Scans nach verwundbaren Switchen registriert wurden.
Wie die Nachrichtenagentur Reuters berichtet, soll das iranische Technologie-Ministerium circa 3500 angegriffene Router gemeldet haben. Davon sollen jedoch die meisten bereits wieder hergestellt sein.
Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.
CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement
