Recentelijk werd bekend dat routers van netwerkgigant Cisco het doelwit van malware waren geworden, maar in het verleden hebben er meer van dit soort incidenten plaatsgevonden. In totaal gaat het om zes malware-aanvallen die de afgelopen vier jaar werden ontdekt en onderzocht, zo laat Cisco zelf weten.
Het meest recente incident betreft de SYNful Knock-malware, waarbij aanvallers een aangepast besturingssysteem op routers installeren. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Om het malafide besturingssysteem te installeren maken de aanvallers gebruik van fysieke toegang of gestolen inloggegevens.
De eerste twee incidenten waarbij malware werd ingezet dateren van 2011 en 2012. Het ging hier waarschijnlijk om speciaal gemaakte malware gericht tegen een bepaald doelwit. Ook in dit geval werd het besturingssysteem van de routers aangepast, met als doel het verzwakken van de encryptie. Het verkeer leek daardoor nog steeds versleuteld, maar de aanvallers konden het verkeer vervolgens met minder moeite ontsleutelen.
Twee andere incidenten werden in 2013 geïdentificeerd. Wederom wist de aanvaller met gestolen inloggegevens van de beheerder toegang tot de router te krijgen en werd er code toegevoegd. Deze code zorgde ervoor dat bepaalde IPv4-pakketten naar de aanvaller werden doorgestuurd. Daarnaast kon de aanvaller via de extra code een IPv4-adres bereiken dat normaal niet toegankelijk vanaf het internet was.
Eind 2014 werd het vijfde incident opgemerkt. Wederom begon de aanval met gestolen inloggegevens. In vergelijking met voorgaande exemplaren gebruikten de aanvallers dit keer geavanceerdere malware die in staat was om een herstart van de router te overleven. Deze malware had ook als doel om bepaalde pakketten te onderscheppen en de aanvaller toegang vanaf het publieke internet te bieden.
Cisco stelt dat het sinds de ontdekking van de eerste malware verschillende maatregelen heeft genomen om de apparatuur beter te beschermen. De aanvallen blijven zich echter ontwikkelen. Daarom stelt de netwerkgigant dat het op de middellangetermijn detectie en herstelmogelijkheden aan de apparatuur gaat toevoegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.