Хакеры атакуют маршрутизаторы Cisco с помощью SYNful Knock

Исследователи принадлежащей FireEye компании Mandiant обнаружили ранее неизвестные атаки на маршрутизаторы с применением техники перенаправления трафика через интернет, позволяющей злоумышленникам собирать большие объемы данных и при этом оставаться незаметными для существующих решений безопасности.

В ходе атаки хакеры подменяют операционную систему, использующуюся в сетевом оборудовании производства Cisco. В общей сложности исследователи обнаружили 14 случаев использования преступниками маршрутизаторов Cisco в 4 странах – Украине, Мексике, Индии и Филиппинах. Компания уже предупредила своих пользователей о возможных атаках на Cisco IOS.

Для осуществления атак злоумышленники применяют вредоносное ПО SYNful Knock. Судя по записям журналов инфицированных устройств, подобные нападения осуществляются уже не меньше года. В ходе атак хакеры не эксплуатируют какие-либо уязвимости в ПО Cisco, а используют похищенные легитимные учетные данные администратора целевых компаний или получают удаленный доступ к их маршрутизаторам. Программа SYNful Knock, перенимающая функции маршрутизатора, потенциально может использоваться для инфицирования устройств и от других производителей.

По данным экспертов, злоумышленники использовали маршрутизаторы подобным образом для атак на ряд правительственных и промышленных организаций. Среди скомпрометированных, присутствуют устройства Cisco 1841, 2811 и 3825.