Malware ataca routers da Cisco

Filipe Pimentel,

Investigadores da FireEye disseram que os routers da Cisco, que redirecionam o tráfego de dados da Internet a nível global, foram atacados por malware, permitindo que hackers possam recolher grandes volumes de dados sem serem detetados.

Batizado de SYNful Knock, o programa malicioso, segundo uma investigação da unidade FireEye revelada no passado dia 16, foi implementado nos routers da Cisco. Ao obter controlo sobre estes equipamentos, os cibercriminosos podem deitar a mão a todos os dados que navegam através deles.

O CEO da empresa de cibersegurança, Dave DeWalt, citado pela Reuters, caracterizou este malware como a “suprema ferramenta de espionagem corporativa”. O responsável afirmou que este ataque atingiu várias indústrias e órgãos governamentais em todo o mundo.

O diretor de segurança da Cisco Portugal, Eutimio Fernández, disse-nos, via email, que a fabricante de soluções de rede já havia alertado os seus clientes para um novo surto de ataques contra infraestruturas corporativas.

“Estes ataques não exploram vulnerabilidades, mas, ao invés, utilizam credenciais comprometidas ou acedem fisicamente ao equipamento de rede para instalar o malware”, explicou o especialista. Fernández acrescenta que a Cisco já forneceu aos seus clientes instruções para reforçar a segurança das suas redes, bem como para evitar e detetar este tipo de ataques e atenuar os danos causados.

O responsável agradece às FireEye pela vigilância efetuada e por ajudar a Cisco a proteger os seus clientes.

Operando para lá das margens das proteções cibernéticas, como anti-vírus, firewalls e ferramentas de deteção de malware, os routers tornam-se alvos apetitosos aos olhos dos hackers que pretendem invadir redes corporativas.

Como Eutimio Fernández costuma dizer, “se alguém quiser entrar, sem autorização, numa rede corporativa, consegui-lo-á”, pelo que ele sublinha a importância da adoção de soluções de proteção preventiva por parte das empresas.

Segundo a Mandiant, a unidade da FireEye encarregue da investigação ciberforense, foram encontrados, até ao momento, 14 exemplos de corrupção pelo SYNful Knock na Índia, México, Filipinas e Ucrânia.

Visto que este malware obtém o controlo do router ao nível do software, substituindo os controlos básicos do equipamento, a reiniciação não é solução. Para resolver o problema, a FireEye disse que é preciso redesenhar o software de controlo dos routers.

DeWalt acredita que, com base nos dados recolhidos pela empresa, o malware esteja operacional, pelo menos, há um ano.

O malware foi encontrado nos modelos 1841, 2811 e 3825 dos routers da Cisco, que, embora já tivessem sido descontinuados, continuam a receber suporte por parte da fabricante.