Iransk og russisk infrastruktur ser ud til at have været målet for et angreb, som fredag slog mange tusind netværks-switches og routere ud i flere lande.
»Angrebet har tilsyneladende berørt 200.000 routere og switches i et omfattende globalt angreb, inklusive 3.500 switches i vores land,« siger den iranske minister for teknologi og telekommunikation, Mohammad Javad Azari Jahromi, i en meddelelse fra det statslige iranske nyhedsbureau IRNA.
Jahromi har også delt et screendump på de sociale medier, som viser meddelelsen fra angriberne, inklusive et amerikansk flag og beskeden ’Don’t mess with our elections’ med klar henvisning til manipuleringen med det amerikanske præsidentvalg i 2016.
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است pic.twitter.com/L8erHB52j1— MJ Azari Jahromi (@azarijahromi) 6. april 2018
Ministeren har ifølge nyhedsbureauet Reuters på statsligt tv sagt, at angrebet hovedsageligt har berørt infrastruktur i Europa, Indien og USA.
»Omkring 55.000 enheder var berørt i USA og 14.000 i Kina. Irans andel af de berørte enheder var 2 procent,« skal han have sagt.
Iranske myndigheder bliver også citeret for, at angrebet blev neutraliseret i løbet af timer, og at ingen data er kommet på afveje.
Det russiske it-sikkerhedsselskab Kaspersky siger, at angrebene for det meste var rettet mod de russisktalende dele af internettet, men at andre segmenter selvfølgelig har været mere eller mindre påvirket.
Ønskede at ramme Iran og Rusland
En gruppe hackeraktivister har påtaget sig skylden. De hævder, at de har scannet flere lande for sårbare systemer, heriblandt USA, Storbritannien og Canada, men at disse blev skånet, da de kun ønskede at ramme Rusland og Iran.
Det melder Motherboard, som har interviewet dem, der stod bag.
Angrebet bliver omtalt som relativt usofistikeret. Der kræver ikke store kundskaber at udnytte sårbarheden, eftersom der allerede er lavet og udgivet angrebsmoduler til kendte værktøjer som Metasploit, der i brug både blandt penetrationstestere og personer med onde hensigter.
Sårbare Cisco-enheder
Angrebet udnytter en kritisk sårbarhed i Cisco-udstyr, som åbner for fjernangreb. Det er den samme svaghed, som digi.no kunne fortælle om få dage tidligere i en softwareklientklient kaldet Cisco Smart Install.
»En ukendt aktør har antagelig brugt en bot til at søge efter sårbare Cisco-enheder via IoT-søgemotoren Shodan, eller måske har de brugt Ciscos eget værktøj, der søger efter sårbare switches. Angrebets omfang er foreløbig uklart, men dette kan være virkelig stort – hvor hele internetudbydere og datacentre er påvirket,« skrev Kaspersky efterfølgende i et blogindlæg.
Kaspersky peger på, at Ciscos Smart Install-protokoll er designet til ikke at kræve autentificering, og at der således kan stilles spørgsmål ved, om det i det hele taget kan kaldes en sårbarhed, eller om der snarere er tale om misbrug.
Indlægget har flere tekniske råd til berørte systemadministratorer om, hvordan man deaktiverer adgang til protokollen.