15 сентября Интернет взорвала новость о взломанных маршрутизаторах известной компании: 79 зараженных маршрутизаторов в 19 странах (США – 25, Ливан – 12, Россия – восемь). «Хитрая» операционная система SYNful Knock (типа Internetwork Operating System) является специализированной модификацией образа прошивки маршрутизатора, которая может быть использована для последующих атак в рамках сети компании-жертвы. Обнаружили уязвимость с помощью открыто распространяемого высокоскоростного сканера ZMap. Компании, которые обнаружили эту уязвимость (Mandiant и FireEye), утверждают, что данная специализированная IOS может удаленно обновляться. Это прекрасный плацдарм для развития атаки. Считается, что подвержены версии систем 1841, 2811, и 3825, но, похоже, подмена ПО произошла на более широкой линейке продукта.
Интересно, что «хорошее» обновление программного обеспечения маршрутизаторов было проведено самими администраторами (или с использованием их логинов и паролей), т. е. специалисты ИТ-подразделений откуда-то скачали и установили эти образы.
Атаки на инфраструктуру – явление не новое. В мае текущего года пресса писала о наличии свыше 40 тыс. зараженных маршрутизаторов, которые оказались частью так называемой бот-сети для организации атак «Отказ в облуживании» (DDoS). Для злоумышленника атака на инфраструктуру является либо первой фазой более мощной (хитрой) атаки на компанию-жертву, либо одной из точек атаки типа DoS.
По моему убеждению, это простое нарушение политики безопасности (или ее отсутствие) в компаниях-жертвах. Занимайтесь кибербезопасностью серьезно!