Infecțiile cu viruși de tip malware pe routerele Cisco sunt mai răspandite
Hackerii au instalat firmware malitios pe aproape 200 de routere Cisco utilizate de catre întreprinderi din peste 30 de tari, potrivit scanarilor de internet efectuate de Shadowserver Foundation.
Marțea trecută, subsidiaraFireEye, Mandiant, aavertizatcu privire la noi atacuri care înlocuiesc firmware-ul pe routerele de servicii integrate ale CiscoSystems. Firmware-ul oferă atacatorilor acces backdoor persistent și capacitatea de a instala module malware personalizate, scrie smartnews.ro.
La acea vreme, Mandiant a anunțat că a identificat 14 routere infectate cu un virus denumit SYNful Knock, în patru țări: Mexic, Ucraina, India și Filipine. Modelele afectate erau Cisco 1841, 2811 și 3825, pe care furnizorul nu le mai vinde.
De saptămâna trecutăși pana acum, Shadowserver Foundation, o organizație de voluntariat care urmărește activitățile de infracționalitate ciberneticăși ajută la doborârea botnet-urilor, a făcut o scanare pe internet cu ajutorul Cisco, pentru a identifica mai multe dispozitive potențial compromise.
Rezultatele au confirmat suspiciunile Mandiant: existau peste 14 routere infectate cu virusul SYNful Knock. Shadowserver și Cisco au identificat 199 de adrese IP unice în 31 de țări care aveau semne de compromitere cu acest malware.
SUA are cel mai mare număr de routere potențial infectate, 65, fiind urmată de India, cu 12 și Rusia, cu 11.
Shadowserver intenționează să înceapă să anunțe proprietarii de rețele care s-au abonat la serviciul de alertare gratuită al companiei în situația în care va identifica routerele compromise.
„Este important a sublinia gravitatea acestei activități malware”, a declarat organizația luni într-un blog post. „Routerele compromise ar trebui sa fie identificate și remediate, ca principală prioritate.”
Prin controlarea routerelor, atacatorii obțin capacitatea de a spiona și de a modifica traficul de rețea, de a redirecționa utilizatorii spre site-uri false și de a lansa alte atacuri împotriva dispozitivelor locale de rețea care, altfel, nu ar putea fi accesate de pe internet.
Cisco este conștientă de faptul căatacatorii folosesc infecții cu firmware fals de cateva luni de zile. Compania a publicat un buletin de securitate în luna august, cu instrucțiuni privind întărirea dispozitivelor în fața unor astfel de atacuri.
