1

Cisco determina extensión de infección de malware en routers

Investigadores detectaron 200 routers de Cisco con firmware malicioso en 31 países, revelando que se ha extendido más de lo estimado.

De acuerdo con las exploraciones de Internet realizadas por los combatientes de la ciberdelincuencia en la Fundación Shadowserver. De hecho, la filial FireEye Mandiant  advirtió sobre los nuevos ataques que reemplazan el firmware de los routers de servicios integrados de Cisco Systems: el programa malicioso permite a los atacantes acceso persistente a través de una puerta trasera y la posibilidad de instalar módulos de malware elaborados para ello.

Avance de un ataque

Incialmente, Mandiant afirmó que había encontrado 14 routers en México, Ucrania, India y Filipinas, infectados por el puerto trasero con el código malicioso denominado SYNful Knock, en los modelos afectados eran los Cisco 1841, 8211 y 3825.

Desde entonces, la Fundación Shadowserver – una organización de voluntarios que rastrea las actividades de ciberdelincuencia y ayuda a derribar las botnets -, ha estado realizando una exploración de Internet con Cisco para ayudarlo a identificar los dispositivos potencialmente más comprometidos.

Los resultados confirmaron las sospechas de Mandiant: Shadowserver y Cisco han identificado 199 IP únicas (Internet Protocol), con direcciones en 31 países que muestran signos de compromiso con el malware Synful.

Estados Unidos tiene el mayor número de routers potencialmente infectados: 65, seguido por India (12) y Rusia con 11.

Acciones de defensa

Shadowserver planea comenzar a notificar a los propietarios de redes que se han inscrito para el servicio de alerta gratuito de la organización si cualquiera de los routers comprometidos caen en sus bloques IP.

“Es importante hacer hincapié en la gravedad de esta actividad maliciosa”, dijo la organización en una entrada de blog. “Los routers comprometidos deben ser identificados y atendidos como una prioridad”.

Mediante el control de los routers, los atacantes obtienen la capacidad de detectar y modificar el tráfico de red, redirigir a los usuarios hacia falsas páginas web y lanzar otros ataques contra los dispositivos de red locales que, de otro modo, serían inaccesibles desde Internet .

Dado que los dispositivos de destino atacados por el Synful Knock suelen ser routers de nivel profesional que utilizan las empresas o ISPs, su compromiso podría afectar a un gran número de usuarios.

Cisco ha estado al tanto de los ataques que utilizan implantes de firmware delincuentes durante varios meses. La compañía publicó un aviso de seguridad en agosto con instrucciones sobre cómo reforzar los dispositivos contra este tipo de ataques.