Более 9000 маршрутизаторов Asus взломаны

Тысячи маршрутизаторов ASUS были взломаны в ходе продолжающейся кибератаки, которая, по мнению экспертов, может стать основой для создания крупномасштабной бот-сети.

Обнаруженная в марте, но обнародованная в среду, эта кампания уже взломала более 9000 маршрутизаторов ASUS, и их число продолжает расти. Компания GreyNoise, обнаружившая взлом, охарактеризовала атаку как скрытную, настойчивую и выполненную с высокой точностью.

Как был обнаружен взлом

Впервые GreyNoise заметила признаки необычного поведения 17 марта, когда ее инструмент анализа Sift на основе искусственного интеллекта отметил три подозрительных HTTP POST-запроса, направленных на конечные точки маршрутизаторов ASUS. Через день исследователи начали более глубокое расследование.

Используя эмулированные профили маршрутизаторов ASUS и глобальный мониторинг трафика, GreyNoise удалось полностью восстановить последовательность атак. По мнению компании, эти атаки, скорее всего, остались бы незамеченными без подобной инфраструктуры, поскольку злоумышленники отключили журналы и избежали использования вредоносного ПО.

Как работает атака

Хакеры использовали известный недостаток безопасности CVE-2023-39780 – уязвимость инъекции команд – для выполнения системных команд на маршрутизаторах. Кроме того, они использовали еще две техники обхода аутентификации, которым пока не присвоены официальные номера CVE.

Проникнув внутрь маршрутизатора, злоумышленники:

  • Включили SSH-доступ через нестандартный порт (TCP/53282).
  • Вставили свой собственный открытый ключ SSH для удаленного доступа.
  • Хранили бэкдор в NVRAM – памяти, которая выдерживает как перезагрузки, так и обновления прошивки.
  • Отключили протоколирование маршрутизатора, практически не оставив цифрового следа.

Судя по всему, это часть скрытной операции по созданию распределенной сети устройств с бэкдорами – потенциально закладывающей основу для будущего ботнета, пишет GreyNoise в своем блоге.

Масштабы взлома

По состоянию на 27 мая данные сканирования, проведенного платформой интернет-картографии Censys, подтвердили, что пострадали не менее 9 000 маршрутизаторов ASUS. Кампания прошла практически незамеченной в глобальном трафике: за три месяца датчики GreyNoise зафиксировали всего 30 соответствующих запросов.

Под угрозой находятся в основном те маршрутизаторы, которые напрямую подключены к Интернету, часто встречающиеся в домах и небольших офисах. После взлома злоумышленники сохраняют контроль над устройством независимо от того, перезагружается ли оно или обновляется новой прошивкой.

Возможные мотивы и субъекты угроз

Хотя GreyNoise не сделала никаких официальных заявлений об авторстве, компания отметила, что использованная тактика отражает тактику групп, занимающихся постоянными угрозами (advanced persistent threat, APT).

Тактика, использованная в этой кампании, – скрытный первоначальный доступ, использование встроенных функций системы для сохранения и тщательное избегание обнаружения – соответствует тактике, применяемой в продвинутых, долгосрочных операциях, включая деятельность, связанную с участниками продвинутых постоянных угроз (APT) и сетями оперативных ретрансляторов (ORB), отметила GreyNoise.

Тем временем компания Sekoia, специализирующаяся на кибербезопасности, связала взлом маршрутизатора ASUS с деятельностью угрожающего субъекта, которого они называют ViciousTrap и который, по их словам, ранее также использовал уязвимости в маршрутизаторах Cisco Small Business. По данным Sekoia, ViciousTrap активно следит за целым рядом подключенных к Интернету устройств, включая маршрутизаторы, видеорегистраторы и контроллеры управления.

Что делать владельцам маршрутизаторов ASUS

Если вы пользуетесь маршрутизатором ASUS, вот что следует предпринять GreyNoise:

  • Войдите в маршрутизатор и убедитесь, что доступ к SSH включен, особенно на порту 53282.
  • Поищите незнакомый открытый ключ SSH, начинающийся с: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV YPsxMDrMlbdDZ...
  • Если SSH включен и присутствуют незнакомые ключи, немедленно отключите доступ к SSH.
  • Обновите прошивку маршрутизатора; ASUS уже выпустила исправление для CVE-2023-39780.
  • Сбросьте настройки маршрутизатора на заводские и настройте его вручную, чтобы удалить следы бэкдора.
  • Заблокируйте следующие IP-адреса, которые были связаны со злоумышленниками:
    • 101.99.91.151
    • 101.99.94.173
    • 79.141.163.179
    • 111.90.146.237

Несмотря на то, что вредоносных программ не было, и выкуп не требовался, эта кампания может быть предвестником более серьезной угрозы. Поскольку атака не оставляет явных следов, многие пользователи могут оставаться в неведении о том, что их устройства скомпрометированы.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
Ботнет BadBox заразил 192 000 Android-устройств
Ботнет Ebury скомпрометировал 400 000 серверов Linux
Прокси-сервис Socks5Systemz заражает 10 000 систем по всему миру

Комментарии (0)