Napadači su instalirali zlonamjerni firmware na gotovo 200 Cisco usmjerivača koji koriste tvrtke iz više od 30 zemalja, prema internetskim skenerima koje izvode suzbijatni kriminalci u Shadowserver Foundation.

U to vrijeme Mandiant je izjavio da je pronašao 14 usmjerivača zaraženih backdoorom, nazvanim SYNful Knock, u četiri zemlje: Meksiku, Ukrajini, Indiji i Filipini. Navedeni modeli bili su Cisco 1841, 2811 i 3825, koji prodavač umrežavanja više ne prodaje.

[Daljnje čitanje: Najbolji NAS kutije za streaming i backup medija]

Od tada, Shadowserver Foundation, volonter organizacija koja prati aktivnosti cyber kriminala i pomaže u uklanjanju botneta, provodi Internet skeniranje pomoću Ciscove pomoći kako bi prepoznala više potencijalno ugroženih uređaja.

Rezultati potvrđuju Mandiantove sumnje: postoji više od 14 usmjerivača zaraženih SYNful Knockom , Shadowserver i Cisco identificirali su 199 jedinstvenih adresa IP (Internet Protocol) u 31 zemalja koje pokazuju znakove kompromisa s ovim zlonamjernim softverom.

SAD imaju najveći broj potencijalno zaraženih usmjerivača, 65. Slijedi Indija sa 12 i Rusijom 11.

Shadowserver planira započeti obavještavanje vlasnika mreže koji su se prijavili za besplatnu uslugu upozorenja organizacije ako neki od ugroženih usmjerivača padne u njihove IP blokove.

"Važno je naglasiti ozbiljnost ove zlonamjerne aktivnosti, "Izjavila je organizacija u ponedjeljak na blogu. "Prepravljeni usmjerivači trebaju biti identificirani i ispravljeni kao glavni prioritet."

Kontrolirajući usmjerivače, napadači dobivaju sposobnost šmrkanja i izmjene mrežnog prometa, preusmjeravaju korisnike na spoofirane web stranice i pokreću druge napade na lokalne mrežne uređaje koji bi inače bili nedostupni s interneta.

Budući da su uređaji na koje ciljaju SYnful Knock napadači tipično profesionalni usmjerivači koji koriste tvrtke ili ISP-i, njihov kompromis može utjecati na veliki broj korisnika.

Cisco je svjestan napadača koji koriste implantate za skrivenu firmware nekoliko mjeseci. Tvrtka je u kolovozu objavila sigurnosni savjetnik s uputama o tome kako očistiti uređaje protiv takvih napada.

Urednička napomena: Ranija inačica ove priče prenijela je broj modela jednog od zahvaćenih usmjerivača u trećem odlomku: usmjerivač je model 2811. U drugom stavku, vrijeme upozorenja Mandianta ispravljeno je kako bi se naznačilo da se to dogodilo prošlog utorka.