Эксперты обнаружили более 10 корпоративных роутеров Cisco с "жучками"

Эксперты обнаружили более 10 корпоративных роутеров Cisco с "жучками"

Эксперты сообщили об обнаружении более 10 корпоративных роутеров Cisco в Украине, Филиппинах, Мексике и Индии, работающих под управлением подменной операционной системы, контролируемой злоумышленниками.

Специалисты по информационной безопасности из компании Mandiant обнаружили 14 интегрированных в сетевые инфраструктуры предприятий роутеров Cisco на Украине, Филиппинах, Мексике и Индии, зараженных в терминологии Mandiant "имплантатом" под названием SYNful Knock. Для каких целей они используются злоумышленниками, не уточняется.

SYNful Knock — это подменная операционная система роутера, дистанционно установленная хакерами вместо штатной ОС производителя Cisco IOS.

После установки имплантата роутер продолжает работать и исполнять свои функции, как и прежде. Но при этом он также — так как отныне находится под внешним контролем — выполняет дистанционные команды злоумышленников и предоставляет им полный доступ к сетевым данным.

"Обычно злоумышленники атакуют сетевые устройства предприятий, чтобы вывести инфраструктуру из строя путем DDoS-атаки (распределенных атак типа "отказ в обслуживании"). Эта цель по-прежнему встречается чаще всего. Однако мы видим рост числа случаев, когда хакеры стремятся взломать инфраструктуру, а не просто атаковать ее на время", — прокомментировали в Cisco.

Специалисты Mandiant уведомили компанию Cisco о наличии зараженных роутеров. По словам представителей Cisco, замена прошивки была выполнена без использования каких-либо уязвимостей, а путем входа в систему с указанием действующих логинов и паролей либо при физическом контакте с роутером.

По мнению исследователей из Mandiant, SYNful Knock — это лишь верхушка айсберга. Эксперты утверждают, что подобных зараженных роутеров в мире гораздо больше. В данном же случае новость касается роутеров конкретного производителя.

В мае 2015 г. компания Incapsula опубликовала доклад, в котором говорилось о наличии свыше 40 тыс. зараженных домашних и офисных роутеров, которые оказались звеньями  крупного ботнета ("зомби-сети"), используемого для проведения DDoS-атак.

Более 80% всех зараженных IP-адресов находились в Таиланде (64%) и Бразилии (21%). Помимо Таиланда и Бразилии, лидируют по количеству зараженных роутеров США (4%), Индия (3%) и Сербия (1%). В общей же сложности ботнет из зараженных маршрутизаторов охватывал 109 государств.

Как выяснили специалисты, все подключенные к ботнету роутеры были заражены тремя видами троянов — MrBlack, Dofloo и Mayday. Эти трояны, предназначенные для заражения устройств под управлением операционных систем с ядром Linux, были разработаны злоумышленниками специально для проведения атак указанного типа.

Источник:
CNews.ru