Исследователи Digital Security провели технический анализ импланта JETPLOW

12.09.2016

Эксперты исследовательского центра компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, Роман Бажин и Максим Малютин произвели технический анализ импланта JETPLOW для межсетевых экранов Cisco. В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Cisco и скрыто там существовать, выполняя команды оператора, контролирующего его. Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д. Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи. 

JETPLOW имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550. 

Другие выводы:

  • Данные в бесплатной части архива от The Shadow Brokers соответствуют материалам, опубликованным Эдвардом Сноуденом;
  • При анализе архива было замечено, что название JETPLOW используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название SCREAMINGPLOW;
  • Команда разработки JETPLOW/SCREAMINGPLOW была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Cisco для разработки и тестирования; 
  • Без аппаратной защиты (TPM) подобные JETPLOW могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься. 

Полное исследование доступно в работе под названием «Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе» в нашем блоге на Хабре. 

Согласно данным, обнародованным Эдвардом Сноуденом, имплант JETPLOW входит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers. 

В документах, опубликованных Эдвардом Сноуденом, присутствует такое описание: «JETPLOW is a firmware persistence implant for Cisco PIX Series and ASA (Adaptive Security Appliance) firewalls». Cотрудники Digital Security после детального анализа пришли к выводу, что под термином «имплант» подразумевается backdoor (закладка) с функцией bootkit’а.

Стоит отметить, что JETPLOW из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 годом и ранее. Но эксперты компании Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием. Полная версия исследования будет представлена на конференции ZeroNights 2016.