Phần mềm độc hại nhiễm trong router của Cisco đã lan rộng hơn

An toàn thông tin - Ngày đăng : 18:28, 22/09/2015

Các nhà nghiên cứu đã phát hiện ra 200 thiết bị định tuyến (router) có chứa mã độc trên 31 quốc gia - nhưng nước Úc không nằm trong số đó.

Kết quả quét Internet được thực hiện bởi các chuyên gia chống tội phạm mạng của Shadowserver Foundation, một tổ chức tình nguyện chuyên theo dõi các hoạt động tội phạm mạng và giúp gỡ bỏ botnets, cho thấy những kẻ tấn công đã cài đặt phần mềm độc hại trên gần 200 router của Cisco được sử dụng bởi các doanh nghiệp tại hơn 30 quốc gia.

Ngày 15/9/2015, Mandiant, công ty con của FireEye đã cảnh báo về những kiểu tấn công mới có khả năng thay thế phần mềm (firmware) trên các thiết bị định tuyến dịch vụ tích hợpcủa Cisco Systems. Firmware giả mạo giúp cho những kẻ tấn côngtruy cập “cửa hậu” (backdoor)một cách bền bỉ và có khả năng cài đặt những modules phần mềm độc hại tùychọn.

Tại thời điểm đó, Mandiant cho biết họ đã tìm được 14 router bị nhiễm backdoor có tên gọi là SYNful Knock, tại 4 quốc gia: Mexico, Ukraine, Ấn Độ và Philippines. Những dòng router bị ảnh hưởng là Cisco 1841, 2811 và 3825, hiện nay những loại này đã được nhà mạng ngừng cung cấp ra thị trường.

Từ đó, Shadowserver Foundation đã thực hiện việc quét Internet với sự giúp đỡ của Cisco để nhận biết những thiết bị tiềm ẩn nguy cơ nhiễm loại mã độc.Kết quả cho thấy, hơn 14 router đã bị nhiễm SYNful Knock. Shadowserver và Cisco đã nhận dạng được 199 địa chỉ IP bất thường tại 31 quốc gia có những tín hiệu của sự tổn hại với loại phần mềm độc hại này.

Mỹ là nơi có con số lớn nhất về số router có nguy cơ lây nhiễm với 65 router. Tiếp sau đó là Ấn Độ với 12 router và Nga là 11 router.

Shadowserver lên kế hoạch bắt đầu thông báo tới các chủ sở hữu mạng lưới, những người đã đăng ký sử dụng dịch vụ cảnh báo miễn phí của Shadowserver, xem liệu có rounters nào bị tổn hại mà rơi vào các vùng IP (IP blocks) của họ hay không.

Điều quan trọng là phải nhấn mạnh tinh ác liệt của hoạt động hiểm độc nàyShadowserver cho biết. “Các router bị tổn hạiphảiđược nhận dạng và khắc phục ở mức ưu tiên cao nhất”.

Bằng việc kiểm soát routers, kẻ tấn công có được khả năng phát hiện và thay đổi lưu lượng mạng, chuyển hướng người dùng đến các websites giả mạo và khởi chạy những tấn công khác đối với các thiết bị mạng nội bộ khiến cho các thiết bị khác không thể truy nhâp được Internet.

Vì mục tiêu của SYNful Knock là những rounters có tính chuyên nghiệp cao,được sử dụng bởi các doanh nghiệp hoặc các nhà cung cấp dịch vụ Internet, nêntổn hại của chúng có thểảnh hưởng tới số lượng lớn những người sử dùng

Cisco đã nhận biết được việc những kẻ tấn công sử dụng phần mềm lừa đảo cấy ghép từ vài tháng nay. Tháng 8/2015, công ty đã công bố bản chỉ dẫn an toàn với những hướng dẫn làm thế nào để thiết bị trở nên chắc chắn hơn nhằm chống lại các dạng tấn công này.

Theocomputerworld.com