Pesquisadores de segurança dizem ter descoberto ataques em três
continentes a roteadores comerciais que ajudam a direcionar o tráfico de
dados da Internet e que permitiram a hackers a coleta de grandes
quantidades de informações sem serem detectados.
Os ataques foram
promovidos por meio de um software altamente sofisticado, conhecido
como SYNful Knock, que foi implantado em roteadores comerciais
produzidos pela Cisco, a maior fabricante mundial deste tipo de
equipamento de rede. A informação foi divulgada nesta terça-feira pela
empresa norte-americana de segurança FireEye.
Até agora,
roteadores eram considerados vulneráveis a ataques contínuos de negação
de serviço, quando o equipamento recebe milhões de requisições de
resposta, mas não a uma invasão que toma seu controle.
"Se você
assume o controle de um roteador, você possui dados de todas as
companhias e organizações governamentais que estão por trás deste
roteador", disse o presidente-executivo da FireEye, Dave DeWalt, sobre a
descoberta. "Esta é a ferramenta de espionagem máxima", acrescentou.
Os ataques atingiram múltiplas empresas e agências governamentais, afirmou o executivo.
A
Cisco confirmou que alertou os clientes sobre os ataques em agosto e
afirmou que eles não ocorreram devido a qualquer vulnerabilidade em seu
próprio software. Em vez disso, os hackers roubaram credenciais válidas
de administração de rede das organizações alvo ou conseguiram ganhar
acesso físico por eles mesmos aos roteadores.
"Compartilhamos
instruções sobre como os clientes podem fortalecer suas redes e
impedirem, detectarem e remediarem este tipo de ataque", disse a Cisco
em comunicado.
No total, o braço de computação forense da
FireEye, Mandiant, detectou 14 casos de invasão a roteadores na Índia,
México, Filipinas e Ucrânia, disse a companhia em
comunicado(http://bit.ly/1ObMm7u).
Como os ataques basicamente
substituem o software que controla os roteadores, as infecções persistem
quando os aparelhos são desligados ou reiniciados. Se um equipamento
for infectado, a FireEye afirma que será necessário reinstalar o
firmware do equipamento.
A infecção de roteadores comerciais,
apesar de não ser desconhecida, vinha se mostrando até agora largamente
como ameaça teórica, disse DeWalt, frisando diferença ante roteadores
domésticos usados pelos consumidores em casa e que nos últimos anos têm
sido alvos de malwares.
Especialistas reconhecem que apenas um
pequeno número de países têm serviços de inteligência capazes de
promoverem tais ataques a equipamentos de rede, incluindo Inglaterra,
China, Israel, Rússia e Estados Unidos.
"O feito somente pode ser
conseguido por um pequeno grupo de países", disse DeWalt, evitando
comentar quais nações suspeita que possam estar por trás dos ataques aos
roteadores da Cisco.
Os equipamentos infectados incluem os
roteadores Cisco 1841, 2811 e 3825, afirmou a FireEye. A Cisco parou de
vender estes produtos, mas ainda oferece suporte aos clientes deles.