SYNful Knock заразил большое количество маршрутизаторов Cisco по всему миру


Shadowserver FoundationКомпания Shadowserver Foundation, занимающаяся отслеживанием активности хакерских бот-сетей, установила, что вредоносное ПО SYNful Knock за достаточно небольшой период сумело инфицировать порядка 200 маршрутизаторов производства Cisco, используемых компаниями и организациями в 31 стране мира.

Стоит напомнить, недавно компаниями Mandiant и FireEye была опубликована информация о том, что данный вредонос был обнаружен в 14 маршрутизаторах Cisco в:

  • Индии;
  • Мексике;
  • Филиппинах;
  • Украине.


Вредонос модифицировал прошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию. Кроме того, он еще позволял киберпреступникам загружать дополнительные модули. Проблема затрагивала модели Cisco 1841, 2811 и 3825, в настоящее время уже снятые с продажи.

Тогда эксперты обнаружили около 79 маршрутизаторов в 19 странах со схожими паттернами поведения. Это, в свою очередь, дает повод предполагать, что в них также установлено вредоносное ПО SYNful Knock.

Проведенное специалистами Shadowserver недавнее интернет-сканирование подтвердило подозрения Mandiant. Далее, уже совместно с командой Cisco, эксперты идентифицировали 199 уникальных IP-адресов в 31 стране мира с признаками компрометации данным вредоносным ПО. При этом наибольшее количество инфицированных маршрутизаторов было обнаружено в:

  • США - 65;
  • Индия - 12;
  • Россия - 11.


Отметим, контроль над маршрутизаторами позволяет злоумышленникам:

  • наблюдать и модифицировать сетевой трафик;
  • перенаправлять устройства на подмененный web-сайт;
  • осуществлять атаки, направленные на другие локальные сетевые девайсы, к которым невозможно получить доступ через интернет.

Обновлено (22.09.2015 21:33)