FireEye รายงานถึงรอม SYNful Knock เป็นรอมที่ถูกดัดแปลงและติดตั้งเข้ากับเราท์เตอร์ใน 4 ประเทศ ได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก, และอินเดีย เราท์เตอร์เหล่านี้ถูกติดตั้งในหลายที่รวมถึงหน่วยงานรัฐบาล ตัวรอมจะเปิดช่องโหว่เพื่อรอรับคำสั่งจากเซิร์ฟเวอร์ ซึ่งเราท์เตอร์ที่พบ SYNful Knock แล้วมี 3 รุ่น ได้แก่ Cisco 1841, Cisco 2811, และ Cisco 3825
รอม SYNful Knock ถูกออกแบบให้เป็นโมดูลที่มีความสามารถแยกกันไป รอมแต่ละชุดสามารถติดตั้งโมดูลเพิ่มเติมได้ถึง 100 ชุด รับคำสั่งจาก TCP SYN ทางพอร์ต 80 ที่ถูกต้องตามเงื่อนไข แพ็กเก็ตนี้สามารถเรียกให้มัลแวร์ในรอมทำงานได้เสมอแม้ตัวเราท์เตอร์จะตั้ง filter ไว้ก็ตาม เมื่อรอมได้รับคำสั่งจากเซิร์ฟเวอร์ เซิร์ฟเวอร์จะสามารถเชื่อมต่อเข้ามาติดตั้งโมดูลเพิ่มเติมได้
ทางซิสโก้ยืนยันการโจมตี และระบุว่าได้ออกประกาศแจ้งเตือนลูกค้าไปก่อนหน้านี้แล้ว โดยการโจมตีนี้ไม่ใช่ช่องโหว่ของสินค้าแต่เป็นการดัดแปลงที่ต้องการสิทธิ์ผู้ดูแลระบบหรือเข้าถึงตัวเครื่องเพื่อดัดแปลงเราท์เตอร์โดยตรง ซึ่งยังไม่มีข้อมูลยืนยันว่าใครเป็นคนสร้างเฟิร์มแวร์นี้ แต่ซีอีโอของ FireEye ระบุว่า คนที่มีทรัพยากรระดับนี้ได้ต้องเป็นระดับรัฐ
ที่มา : thehackernews
You must be logged in to post a comment.