De aanvallen waarbij de firmware van Cisco-routers door een malafide versie wordt vervangen zijn mogelijk vanwege zwakke en gestolen adminwachtwoorden, zo stelt Cisco in een reactie. Daarnaast zou de aanval alleen tegen oude apparatuur werken. De Amerikaanse geheime dienst NSA, de FBI, het Cybersecurity and Infrastructure Security Agency en de Japanse politie kwamen vandaag met een waarschuwing voor de aanvallen, die het werk zijn van een groep genaamd BlackTech.

Zodra de aanvallers toegang tot een router hebben wordt malafide firmware geüpload, waarmee de aanvallers hun activiteiten verbergen en toegang behouden. Doelwitten zouden zich vooral in de Verenigde Staten en Japan bevinden. "De voornaamste toegangsvector bij deze aanvallen bestaat uit gestolen of zwakke adminwachtwoorden. Zoals beschreven in de waarschuwing, vereisen bepaalde configuratie-aanpassingen, zoals het uitschakelen van logging en downloaden van firmware, adminwachtwoorden."

Cisco merkt op dat er geen aanwijzingen zijn dat de aanvallers misbruik van kwetsbaarheden maken. "De aanvallers gebruiken gecompromitteerde inloggegevens om configuratie- en software-aanpassingen op beheerdersniveau uit te voeren", laat de netwerkgigant verder weten. Die stelt daarnaast dat het downgrade naar oudere firmware zoals de aanvallers doen alleen mogelijk is bij legacy apparaten.