Вредоносом SYNful Knock заражено больше маршрутизаторов Cisco, чем предполагалось

image

Теги: вредоносное ПО, маршрутизатор, инфицирование

Эксперты идентифицировали 199 уникальных IP-адресов в 31 стране мира с признаками компрометации данным ПО.

Согласно данным, полученным исследователями из группы Shadowserver Foundation, отслеживающей активность хакерских бот-сетей, вредоносным ПО SYNful Knock инфицировано порядка 200 маршрутизаторов производства Cisco, используемых компаниями и организациями в 31 стране мира.

Напомним , ранее компании Mandiant и FireEye опубликовали информацию о том, что данный вредонос был обнаружен в 14 маршрутизаторах Cisco в Индии, Мексике, Филиппинах и Украине. Вредонос модифицировал прошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию, включая возможность загружать дополнительные модули. Проблема затрагивала модели Cisco 1841, 2811 и 3825, которые в настоящее время уже сняты с продажи.

Эксперты обнаружили по меньшей мере 79 маршрутизаторов в 19 странах со схожими паттернами поведения, что дает повод предполагать, что в них также установлено вредоносное ПО SYNful Knock.

Проведенное специалистами Shadowserver интернет-сканирование подтвердило подозрения Mandiant. Совместно с командой Cisco эксперты идентифицировали 199 уникальных IP-адресов в 31 стране мира с признаками компрометации данным вредоносным ПО. Наибольшее количество инфицированных маршрутизаторов было обнаружено в США (65), далее следуют Индия и Россия с показателями 12 и 11 соответственно.

Контроль над маршрутизаторами предоставляет злоумышленникам возможность наблюдать и модифицировать сетевой трафик, перенаправлять устройства на подмененный web-сайт и осуществлять атаки, направленные на другие локальные сетевые девайсы, к которым невозможно получить доступ через интернет.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.