Mii de routere ASUS au fost compromise într-o campanie de exploatare cu un backdoor care permite accesul pentru o perioadă îndelungată, chiar și după repornirea dispozitivului (reboot).
Scopul pare să fie crearea unei rețele distribuite de dispozitive, posibil pentru a forma un viitor botnet, folosit ca rețea de relee operaționale (operational relay box – ORB).
Conform analiștilor de la compania GreyNoise – un serviciu ce identifică amenințări în urma analizei traficului de pe internet –, tacticile folosite în campanie sunt similare modului de operare al unui actor avansat tehnic și cu resurse semnificative.
Printre tacticile observate se numără accesul inițial discret, folosirea funcțiilor sistemului pentru persistență și evitarea detectării.
Raportul GreyNoise menționează că accesul atacatorilor supraviețuiește atât repornirilor, cât și actualizărilor de firmware, oferindu-le un control durabil asupra dispozitivelor afectate.
Probleme vechi pentru atacuri discrete
Aceștia mențin accesul pe termen lung fără a instala malware sau a lăsa urme evidente, prin utilizarea mai multor metode de evitare a autentificării, exploatarea unei vulnerabilități cunoscute (CVE-2023-39780) și abuzarea funcțiilor legitime de configurare ale dispozitivului.
GreyNoise a observat mii de routere ASUS compromise, numărul acestora fiind în continuă creștere. Accesul inițial este obținut prin atacuri de tip brute-force pentru a identifica credențialele de autentificare, folosind în același timp tehnici de evitare a autentificării – unele dintre acestea neavând alocat un identificator formal (CVE).
Atacatorii exploatează CVE-2023-39780, o vulnerabilitate cu severitate ridicată care permite injectarea de comenzi ce pot fi executate de sistem după autentificare.
Hackerii utilizează funcții legitime ale routerelor ASUS pentru a activa accesul SSH pe un port personalizat (TCP/53282) și pentru a adăuga o cheie publică ce permite accesul de la distanță.
Malware-ul de tip backdoor este apoi stocat în memoria non-volatilă (NVRAM), unde poate supraviețui actualizărilor de firmware și repornirii routerului.
La momentul actual, platforma Censys de scanare a resurselor de pe internet arată că aproape 9.600 de routere sunt compromise, cele mai multe dintre acestea fiind localizate în Statele Unite.
Sistemele GreyNoise au identificat doar 30 de routere ASUS infectate în ultimele trei luni, ceea ce sugerează o operațiune discretă.
Răspunsul ASUS în fața acestor atacuri a fost emiterea unei actualizări de firmware menită să remedieze vulnerabilitatea CVE-2023-39780, precum și tehnicile de evitare a autentificării pe dispozitivele expuse în rețeaua publică de internet.
Dacă se suspectează compromiterea, se recomandă efectuarea unei resetări complete la setările din fabrică și reconfigurarea manuală a dispozitivului.
GreyNoise pune la dispoziție un set de indicatori de compromis ce pot fi utilizați pentru a bloca eventuale atacuri precum și pentru a implementa măsuri de protecție adecvate.
