Эксперты исследовательского центра компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, Роман Бажин и Максим Малютин произвели технический анализ имплантаJETPLOW для межсетевых экранов Cisco.
В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Cisco и скрыто там существовать, выполняя команды оператора, контролирующего его. Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д.
Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи.
JETPLOW имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550.
Другие выводы:
· Данные в бесплатной части архива от The Shadow Brokers соответствуют материалам, опубликованным Эдвардом Сноуденом;
· При анализе архива было замечено, что название JETPLOW используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название SCREAMINGPLOW;
· Команда разработки JETPLOW/SCREAMINGPLOW была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Ciscoдля разработки и тестирования;
· Без аппаратной защиты (TPM) подобные JETPLOW могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься.
Полное исследование доступно в работе под названием “Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе”:https://habrahabr.ru/company/dsec/blog/309560/.
Согласно данным, обнародованным Эдвардом Сноуденом, имплантJETPLOW входит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers.
В документах, опубликованных Эдвардом Сноуденом, присутствует такое описание: «JETPLOW is a firmware persistence implant for Cisco PIX Series and ASA (Adaptive Security Appliance) firewalls». Cотрудники Digital Security после детального анализа пришли к выводу, что под термином «имплант» подразумевается backdoor (закладка) с функцией bootkit’а.
Стоит отметить, что JETPLOW из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 годом и ранее. Но эксперты компании Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием. Полная версия исследования будет представлена на конференции ZeroNights 2016:http://2016.zeronights.ru/.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. Исследовательский центр компании, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, SUN, IBM, Alcatel, VMware, HP,Adobe, Microsoft и других лидеров индустрии ИТ. С 2003 года клиентами Digital Security стали более 500 компаний. Подробнее о компании и услугах: http://www.dsec.ru/.
В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Cisco и скрыто там существовать, выполняя команды оператора, контролирующего его. Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д.
Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи.
JETPLOW имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550.
Другие выводы:
· Данные в бесплатной части архива от The Shadow Brokers соответствуют материалам, опубликованным Эдвардом Сноуденом;
· При анализе архива было замечено, что название JETPLOW используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название SCREAMINGPLOW;
· Команда разработки JETPLOW/SCREAMINGPLOW была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Ciscoдля разработки и тестирования;
· Без аппаратной защиты (TPM) подобные JETPLOW могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься.
Полное исследование доступно в работе под названием “Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе”:https://habrahabr.ru/company/dsec/blog/309560/.
Согласно данным, обнародованным Эдвардом Сноуденом, имплантJETPLOW входит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers.
В документах, опубликованных Эдвардом Сноуденом, присутствует такое описание: «JETPLOW is a firmware persistence implant for Cisco PIX Series and ASA (Adaptive Security Appliance) firewalls». Cотрудники Digital Security после детального анализа пришли к выводу, что под термином «имплант» подразумевается backdoor (закладка) с функцией bootkit’а.
Стоит отметить, что JETPLOW из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 годом и ранее. Но эксперты компании Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием. Полная версия исследования будет представлена на конференции ZeroNights 2016:http://2016.zeronights.ru/.
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. Исследовательский центр компании, открытый в 2007 году, специализируется на поиске и исследовании уязвимостей в различных приложениях и системах, обладает множеством официальных благодарностей от Oracle, SAP, Apache, SUN, IBM, Alcatel, VMware, HP,Adobe, Microsoft и других лидеров индустрии ИТ. С 2003 года клиентами Digital Security стали более 500 компаний. Подробнее о компании и услугах: http://www.dsec.ru/.
