Wereldwijd zijn verschillende gehackte Cisco-routers ontdekt waarvan de firmware was aangepast, zodat de aanvallers permanent toegang tot het netwerk hielden. Dat laat het Amerikaanse beveiligingsbedrijf FireEye weten. Onlangs waarschuwde ook Cisco al voor aanvallen via aangepaste firmware.

De gehackte routers met aangepaste firmware zijn aangetroffen in de Oekraïne, Filipijnen, Mexico en India. Het gaat in totaal om 14 apparaten. Hoe de aanvallers toegang tot de routers wisten te krijgen is onbekend, maar volgens FireEye is er waarschijnlijk geen zero day-aanval gebruikt. "Er wordt aangenomen dat de standaard inloggegevens stonden ingesteld of dat ze door de aanvaller zijn ontdekt om de backdoor te installeren", aldus de beveiliger. De router zou vanwege de positie in het netwerk een ideaal doelwit voor verdere aanvallen zijn.

Eenmaal actief kunnen er via de backdoor verschillende modules op de router worden geplaatst. Vooralsnog gaat het om de Cisco 1841, 2811 en 3825 routers, maar FireEye waarschuwt dat andere modellen ook zijn of zullen worden aangevallen. Ook verwacht de beveiliger dat deze aanvalsmethode populair onder aanvallers zal worden. Doordat de firmware is aangepast blijven de aanvallers namelijk toegang tot de router behouden, zelfs al wordt het apparaat herstart. Daarnaast is de aangepaste router-firmware lastig te detecteren.