На Украине и в других странах обнаружены роутеры Cisco с «жучками»

Безопасность Интеграция
мобильная версия
, Текст: Сергей Попсулин

Эксперты сообщили об обнаружении более 10 корпоративных роутеров Cisco на Украине, Филиппинах, в Мексике и Индии, работающих под управлением подменной операционной системы, контролируемой злоумышленниками. 


Роутеры Cisco с имплантатами  

Специалисты по информационной безопасности из компании Mandiant обнаружили 14 интегрированных в сетевые инфраструктуры предприятий роутеров Cisco на Украине, Филиппинах, Мексике и Индии, зараженных в терминологии Mandiant «имплантатом» под названием SYNful Knock. Для каких целей они используются злоумышленниками, не уточняется. 

SYNful Knock — это подменная операционная система роутера, дистанционно установленная хакерами вместо штатной ОС производителя Cisco IOS.

Подмена прошивки

После установки имплантата роутер продолжает работать и исполнять свои функции, как и прежде. Но при этом он также — так как отныне находится под внешним контролем — выполняет дистанционные команды злоумышленников и предоставляет им полный доступ к сетевым данным.

Комментарий Cisco

«Обычно злоумышленники атакуют сетевые устройства предприятий, чтобы вывести инфраструктуру из строя путем DDoS-атаки (распределенных атак типа «отказ в обслуживании»). Эта цель по-прежнему встречается чаще всего. Однако мы видим рост числа случаев, когда хакеры стремятся взломать инфраструктуру, а не просто атаковать ее на время», — прокомментировали в Cisco.

Специалисты Mandiant уведомили компанию Cisco о наличии зараженных роутеров. По словам представителей Cisco, замена прошивки была выполнена без использования каких-либо уязвимостей, а путем входа в систему с указанием действующих логинов и паролей либо при физическом контакте с роутером. 


14 роутеров Cisco в мире работают под управлением подменной ОС

Верхушка айсберга

По мнению исследователей из Mandiant, SYNful Knock — это лишь верхушка айсберга. Эксперты утверждают, что подобных зараженных роутеров в мире гораздо больше. В данном же случае новость касается роутеров конкретного производителя. 

Десятки тысяч зараженных роутеров

В мае 2015 г. компания Incapsula опубликовала доклад, в котором говорилось о наличии свыше 40 тыс. зараженных домашних и офисных роутеров, которые оказались звеньями  крупного ботнета («зомби-сети»), используемого для проведения DDoS-атак. 

Более 80% всех зараженных IP-адресов находились в Таиланде (64%) и Бразилии (21%). Помимо Таиланда и Бразилии, лидируют по количеству зараженных роутеров США (4%), Индия (3%) и Сербия (1%). В общей же сложности ботнет из зараженных маршрутизаторов охватывал 109 государств.

Как выяснили специалисты, все подключенные к ботнету роутеры были заражены тремя видами троянов — MrBlack, Dofloo и Mayday. Эти трояны, предназначенные для заражения устройств под управлением операционных систем с ядром Linux, были разработаны злоумышленниками специально для проведения атак указанного типа.