Extensão dos implantes malware em roteadores Cisco é maior que o previsto

Atacantes instalaram firmware malicioso em cerca de 200 roteadores Cisco usados por empresas de mais de 30 países, de acordo com as varreduras na Internet realizadas pela Fundação Shadowserver, de combate ao cibercrime.

Segunda-feira passada, a FireEye, subsidiária da Mandiant, alertou sobre novos ataques que substituem o firmware em roteadores da Cisco Systems. O falso firmware fornece aos atacantes acesso por backdoor e a capacidade de instalar malware.

Na época, a Mandiant disse ter encontrado 14 roteadores infectados com o backdoor, apelidado de SYNful Knock, em quatro países: México, Ucrânia, Índia e Filipinas. Os modelos afetados eram os Cisco 1841, 8211 e 3825, que já não estão mais à venda.

Desde então, a Fundação Shadowserver, organização voluntária que monitora as atividades do cibercrime e ajuda a derrubar botnets, fez uma varredura na Internet com a ajuda de Cisco, com o propósito de identificar mais dispositivos potencialmente comprometidos.

Os resultados confirmaram as suspeitas de Mandiant: há mais de 14 roteadores infectados como o SYNful Knock.   A Shadowserver e a Cisco identificaram 199 endereços IPs em 31 países comprometidos com este malware.

Os EUA têm o maior número de roteadores potencialmente infectados (65), seguidos pela Índia (12) e Rússia (11).

“É importante salientar a gravidade desta atividade maliciosa”, disse a organização em um post publicado no seu blog esta segunda-feira. “Roteadores comprometidos devem ser identificados e corrigidos sem demora.”

Ao controlar os roteadores, os atacantes ganham a capacidade de modificar o tráfego da rede, redirecionar os usuários para sites falsos e lançar ataques contra outros dispositivos de rede que seriam inacessíveis a partir da Internet.

Uma vez que os dispositivos visados ​​pelo SYNful Knocks são tipicamente roteadores profissionais, utilizados por empresas ou ISPs, o comprometimento deles pode afetar um grande número de usuários.

A Cisco já tinha conhecimento de ataques semelhantes há vários meses. Em agosto, a empresa publicou um alerta de segurança com instruções sobre como proteger os dispositivos contra esses ataques.