Вредоносное ПО, которое может дать контроль атакующих маршрутизаторов, было обнаружено практически в 200 устройствах Cisco в 30 государствах.Cisco Systems производит инструмент бесплатного ПО, что клиенты могут применять для сканирования их маршрутизаторов для вредоносного ПО Удара SYNful, которое заразило по крайней мере 200 устройств во всем миреВредоносное ПО было сперва опубликовано в начале месяца, с Cisco и Mandiant, дочерней компанией технологического поставщика кибербезопасности FireEye, заявив, что были заражены 14 маршрутизаторов в четырех государствах (Индия, Мексика, Филиппины и Украина). Но семь дней спустя, партнер Cisco, организация кибербезопасности Shadowserver База, о которой объявляют с сетевым гигантом, что вредоносное ПО Удара SYNful было найдено практически на 200 маршрутизаторах в 31 стране.
Cisco трудилась с Shadowserver для получения более правильного количества на числе зараженных совокупностей.Вредоносное ПО создано, чтобы принять маршрутизаторы и предложить тайный доступ, разрешив атакующим установить второе вредоносное ПО, взять контроль над Интернет-трафиком, прямыми пользователями на другие сайты, эти кражи и предпринять последовательность наступлений против вторых устройств.Вредоносное ПО сохраняет надежду ставить под угрозу ПО Cisco’s IOS на маршрутизаторах.
«Влияние нахождения этого имплантата в Вашей сети без шуток, и самый вероятный показывает присутствие вторых точек опоры либо поставивших под угрозу совокупностей», записали исследователи FireEye в должности на блоге компании. «Этот тёмный движение снабжает в полной мере достаточную возможность атакующего распространить и поставить под угрозу критические данные и другие узлы посредством этого в качестве весьма тайного берегового плацдарма».Cisco ответила Страницей Ответа События, которая дала данные о клиентах об обнаружении и перепосредничестве таких нападений.«Новое дополнение к инструментарию, что Cisco предоставляет клиентам, прибывает после Cisco PSIRT [Команда Реагирования на инциденты Безопасности продуктов] трудилась с клиентами и внутренними командами чтобы получить копии вредоносного ПО», записал Уильям Макви, технический начальник в Интеллектуальной исследовательской группе и информационной безопасности Cisco Talos, в должности на блоге компании. «Talos сейчас создал инструмент для клиентов для сканирования их собственной сети для идентификации маршрутизаторов, которые, быть может, поставились под угрозу этим определенным вредоносным программным обеспечением. Инструмент трудится сканирующими сетями и устройствами, ища маршрутизаторы, отвечая на вредоносное ПО Удара SYNful».
Макви подчернул, что инструмент «может лишь найти узлы, отвечающие на вредоносный ‘удар’, как это известно в определенном моменте времени. Этот инструмент может употребляться, чтобы оказать помощь найти и сортировать узнаваемые компромиссы инфраструктуры, но это не может установить, что сеть не имеет вредоносного ПО, которое, быть может, развилось для применения разного набора автографов».
Исследователи Cisco создали программный инструмент в Python, и это требует версии 2.7 Python и пакетной библиотеки Scapy v2.3.1 манипулирования, записал он. Работы инструмента, вводя пользовательски обработанные пакеты на уровне Ethernet (Уровень 2) сети, и потом осуществляют контроль и разбирают ответы. Чтобы сделать это, инструмент должен быть выполнен с полномочиями пользователя root.
Инструмент возможно загружен с Сайта Cisco.Макви также записал, что исполнение инструмента при помощи преобразования сетевых адресов (NAT) может повредить собственную точность, вынудив ПО быть неспособным найти зараженные маршрутизаторы.
«Исходя из этого рекомендуется выполнить инструмент от сетевого размещения, которое не имеет NAT между исходной совокупностью и местами назначения отсканированным», записал он. «Опция Additionally, if you scan from a multi-homed device, you may wish to specify which network interface to use for scanning with the ‘-iface ‘. По умолчанию первый сетевой интерфейс, который связан с маршрутом по умолчанию, выбран».Представитель Cisco заявил, что eWEEK в начале месяца «эти нападения не применяют уязвимости, но вместо этого применяют поставившие под угрозу учетные эти либо физический доступ для установки вредоносного ПО на сетевых устройствах.
Мы совместно применяли управление о том, как клиенты могут укрепить собственную сеть, и предотвращать, обнаруживать и повторно получать этого типа нападения».Макви предупредил, что, объединяя в сеть учётные данные и аппаратные средства они держатся, будет быть целями большой цене для киберпреступников и уверенными организациями для применения способов самая успешной практики для сети, укрепляющейся для защиты от нападений.
«Остается ответственным обезопасисть [сетевые устройства] соответственно, потому, что любое устройство может поставиться под угрозу, когда атакующий приобретает физический доступ к устройству либо учетным данным для привилегированных учетных записей», записал он.