SYNful Knock è il malware recentemente scoperto dai ricercatori di FireEye all’interno di diversi modelli di router a marchio Cisco sparsi in tutto il mondo.
La pericolosità del software malevolo è data dalla sua principale funzione: sostituirsi automaticamente al firmware ufficiale e aprire l’accesso alla banda di cyber criminali, ancora ignota, responsabile dell’operazione fraudolenta.
Individuato in una serie di Paesi tra cui, fortunatamente, manca l’Italia, SYNful Knock ha agito finora sui modelli router Cisco 1841, Cisco 2811 e Cisco 3825.
Con conseguenze potenzialmente letali. Il firmware modificato permette infatti di caricare diversi moduli funzionali sotto forma di hook nelle funzioni standard del codice Cisco o come codice binario indipendente, riavviando gli eventuali moduli malevoli bloccati dal sistema grazie all’invio di pacchetti TCP non-standard agli stessi dispositivi compromessi.
Inoltre, i ricercatori hanno rilevato all’interno di SYNful Knock una backdoor, che permette ai criminali di accedere al router da remoto, mediante una apposita password segreta.
Con la possibilità, da parte dei cyber criminali, di inficiare il funzionamento di un’intera rete aziendale. Anche in Italia.