Специалистами в сфере информационной безопасности из компании Mandiant было обнаружено 14 внедренных в сетевые инфраструктуры компаний в Индии, Мексике, Филиппинах и Украине роутеров Cisco, инфицированных вредоносным программным обеспечением SYNful Knock. С какой целью роутеры были заражены злоумышленниками, специалисты не уточняют.
Название SYNful Knock получила операционная система, которую хакеры дистанционно устанавливают на роутер вместо штатной операционной системы Cisco IOS.
После того как подменная ОС была установлена, роутер продолжает выполнять свою работу, как и раньше. Но теперь устройство также выполняет команды хакеров, которые получают полный доступ к сетевым данным.
Компания Cisco была проинформирована специалистами Mandiant о наличии инфицированных роутеров. Как утверждают представители Cisco, злоумышленники заменили прошивку при физическом контакте с роутером или же путем проникновения в систему с вводом действующих логинов и паролей.
Как считают исследователи из Mandiant, SYNful Knock является лишь верхушкой айсберга, так как подобных инфицированных роутеров в мире намного больше. В этом же случае новость относится к конкретному производителю роутеров.
В мае этого года компанией Incapsula был обнародован доклад, в котором упоминалось о существовании более чем 40 тысяч инфицированных офисных и домашних роутеров, являвшихся частью большого ботнета, который использовался для проведения DDoS-атак.
Большая часть всех инфицированных IP-адресов находилась в Таиланде и Бразилии. Всего же ботнетом было охвачено 109 стран.
Специалисты выяснили, что все роутеры, подключенные к ботнету, инфицированы тремя разновидностями троянских программ: Dofloo, Mayday и MrBlack. Эти троянские программы предназначены для инфицирования устройств, управляемых операционными системами с ядром Linux.