I ricercatori di FireEye hanno scoperto SYNful Knock , un “impianto” malevolo progettato per prendere il posto del firmware legittimo di alcuni router Cisco e volto a garantire funzionalità di accesso nascoste alla gang degli ignoti cyber-criminali responsabili dell’operazione.
SYNful Knock è stato fin qui individuato su 79 router sparsi in 19 paesi, per la maggio parte negli Stati Uniti, Libano, Russia e India, rivelano i ricercatori, è sicuramente in grado di attaccare le serie Cisco 1841, 2811 e 3825 ed è pensato per arricchire il firmware standard con capacità malevole a dir poco inquietanti.
Il firmware modificato permette infatti di caricare diversi moduli funzionali sotto forma di hook nelle funzioni standard del codice Cisco o come codice binario indipendente, dicono da FireEye; il reboot del router elimina i moduli malevoli residenti in memoria, ma i cyber-criminali possono riavviarli inviando pacchetti TCP non-standard ai dispositivi compromessi.
Peggio ancora, all’interno del firmware malevolo è presente una backdoor che permette ai criminali di accedere al router da remoto (tramite console e Telnet) tramite una apposita password segreta. I router infetti sono stati compromessi tramite l’utilizzo di credenziali di accesso deboli o magari di default, dicono i ricercatori, mentre non esistono prove sul possibile exploit di falle zero day o altre vulnerabilità.
Da FireEye lamentano la disattenzione delle aziende quando si tratta della sicurezza dei router, componenti generalmente trascurati in favore di client e gadget mobile: ma un router compromesso rappresenta un punto di accesso critico per ogni rete telematica aziendale, avvertono i ricercatori, e una volta compromesso l’accesso l’intera rete diventa vulnerabile.
Ti potrebbe interessare
17 set 2015