Cisco

200.000. Questo il numero di switch Cisco non aggiornati attaccati dagli hacker. L’attacco è stato inizialmente segnalato dal ministro IT dell’Iran, Mohammad Javad Azari-Jahromi. Solo in Iran, gli switch colpiti sono all’incirca 3.500. Al primo posto gli Stati Uniti, a quota 55.000 switch, seguiti a ruota da Cina, Europa e India. L’attacco sembrerebbe aver provocato pochi danni, almeno in Iran, e non si conoscono ulteriori dettagli sulla portata e sugli effettivi danni nel resto del globo. Cisco ha precisato che gli switch colpiti avevano tutti la funzione Smart Install attiva e tutti erano indifesi davanti all’exploit Legacy Smart Install.

Cisco, Iran e Kaspersky Lab: che cosa è successo?

Hacker

Il primo report iraniano segnala danni contenuti e di pochi switch colpiti. La tesi più diffusa, accreditata da un comunicato degli stessi hacker, sostiene che l’attacco sia diretto contro la Russia e altri paesi accusati di aver alterato i risultati delle elezioni americane. Si tratterebbe di un vero e proprio paradosso, considerando che proprio gli Stati Uniti contano il maggior numero di switch infetti. Eppure, Kaspersky Lab sembrerebbe concordare con la tesi maggioritaria. In un comunicato sul blog ufficiale è possibile leggere:

“La scala dell’attacco non è ancora del tutto chiara, ma pare essere piuttosto ampia. A quanto pare gli hacker stanno prendendo di mira prevalentemente il segmento di Internet in lingua russa. Mentre analizziamo la violazione, il post verrà aggiornato alla scoperta di nuove informazioni”.

In merito alle modalità dell’attacco, l’azienda ha aggiunto:

“Un gruppo sconosciuto sfrutta una vulnerabilità nel programma Cisco Smart Install client, vulnerabilità che permette di eseguire un codice arbitrario sul dispositivo vulnerabile. Gli aggressori sovrascrivono il sistema Cisco IOS e modificano il file di configurazione, lasciando il messaggio ‘Non si scherza con le nostre elezioni‘. lo switch diviene, in seguito, non disponibile”.