Iran: 200.000 switches og routere er blevet ramt i globalt angreb

Hackere lagde en besked med et billede af det amerikanske flag og besked om ikke at manipulere med deres valg.

Iransk og russisk infrastruktur ser ud til at have været målet for et angreb, som fredag slog mange tusind netværks-switches og routere ud i flere lande.

»Angrebet har tilsyneladende berørt 200.000 routere og switches i et omfattende globalt angreb, inklusive 3.500 switches i vores land,« siger den iranske minister for teknologi og telekommunikation, Mohammad Javad Azari Jahromi, i en meddelelse fra det statslige iranske nyhedsbureau IRNA.

Jahromi har også delt et screendump på de sociale medier, som viser meddelelsen fra angriberne, inklusive et amerikansk flag og beskeden ’Don’t mess with our elections’ med klar henvisning til manipuleringen med det amerikanske præsidentvalg i 2016.

Ministeren har ifølge nyhedsbureauet Reuters på statsligt tv sagt, at angrebet hovedsageligt har berørt infrastruktur i Europa, Indien og USA.

»Omkring 55.000 enheder var berørt i USA og 14.000 i Kina. Irans andel af de berørte enheder var 2 procent,« skal han have sagt.

Iranske myndigheder bliver også citeret for, at angrebet blev neutraliseret i løbet af timer, og at ingen data er kommet på afveje.

Det russiske it-sikkerhedsselskab Kaspersky siger, at angrebene for det meste var rettet mod de russisktalende dele af internettet, men at andre segmenter selvfølgelig har været mere eller mindre påvirket.

Ønskede at ramme Iran og Rusland

En gruppe hackeraktivister har påtaget sig skylden. De hævder, at de har scannet flere lande for sårbare systemer, heriblandt USA, Storbritannien og Canada, men at disse blev skånet, da de kun ønskede at ramme Rusland og Iran.

Det melder Motherboard, som har interviewet dem, der stod bag.

Angrebet bliver omtalt som relativt usofistikeret. Der kræver ikke store kundskaber at udnytte sårbarheden, eftersom der allerede er lavet og udgivet angrebsmoduler til kendte værktøjer som Metasploit, der i brug både blandt penetrationstestere og personer med onde hensigter.

Sårbare Cisco-enheder

Angrebet udnytter en kritisk sårbarhed i Cisco-udstyr, som åbner for fjernangreb. Det er den samme svaghed, som digi.no kunne fortælle om få dage tidligere i en softwareklientklient kaldet Cisco Smart Install.

»En ukendt aktør har antagelig brugt en bot til at søge efter sårbare Cisco-enheder via IoT-søgemotoren Shodan, eller måske har de brugt Ciscos eget værktøj, der søger efter sårbare switches. Angrebets omfang er foreløbig uklart, men dette kan være virkelig stort – hvor hele internetudbydere og datacentre er påvirket,« skrev Kaspersky efterfølgende i et blogindlæg.

Kaspersky peger på, at Ciscos Smart Install-protokoll er designet til ikke at kræve autentificering, og at der således kan stilles spørgsmål ved, om det i det hele taget kan kaldes en sårbarhed, eller om der snarere er tale om misbrug.

Indlægget har flere tekniske råd til berørte systemadministratorer om, hvordan man deaktiverer adgang til protokollen.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Jensen

Med alt det postyr der har været omkring Cisco-routere/switche som den amerikanske regering skulle have "opdateret" før forsendelse til udlandet.

Er der så virkelig noget at komme efter i et land som Rusland? Umiddelbart har jeg svært ved at se hvordan de på nogen måde kunne have tillid til Cisco-udstyr.

  • 0
  • 0
Log ind eller Opret konto for at kommentere