Cineva construiește o armată de routere compromise, din motive pe care încă trebuie să le descoperim
Imaginea de ansamblu: Backdoors sunt de obicei concepute pentru a ocoli metodele de autentificare tradiționale și pentru a oferi acces la distanță neautorizat la aparate de rețea vulnerabile sau dispozitive finale. Cele mai eficiente backdoors rămân invizibile atât pentru utilizatorii finali, cât și pentru administratorii de sistem, ceea ce îi face deosebit de atractivi pentru actorii amenințați angajați în campanii ascunse de cyber-spionage.
Analiștii de la Greynoise au descoperit o campanie misterioasă bazată pe spate care afectează peste 9.000 de routere Asus. Cybercriminalele necunoscute exploatează vulnerabilitățile de securitate – unele dintre ele au fost deja plasate – în timp ce altora nu li s -a atribuit niciodată intrări de urmărire corespunzătoare în baza de date CVE. Povestea este plină de „necunoscute”, întrucât atacatorii încă nu au luat măsuri vizibile cu botnetul important pe care l -au construit.
Backdoor, acum urmărit drept „Vicioustrap”, a fost identificat pentru prima dată de sistemul AI de proprietate al Greynoise, Sift. AI a detectat trafic anomal în martie, determinând cercetătorilor să investigheze noua amenințare și să notifice autoritățile guvernamentale până la sfârșitul lunii. Acum, la doar câteva zile după ce o altă companie de securitate a dezvăluit campania, Greynoise a publicat o postare pe blog care detaliază Vicioustrap.
Potrivit cercetătorilor, mii de dispozitive de rețea ASUS au fost deja compromise de acest fundal furios. Atacatorii au mai întâi acces prin exploatarea mai multor defecte de securitate și ocolind autentificarea prin încercări de conectare a forței brute. Apoi folosesc o altă vulnerabilitate (CVE-2023-39780) pentru a executa comenzi pe router, abuzând o caracteristică legitimă ASUS pentru a activa accesul SSH pe un port TCP/IP specific și pentru a injecta o cheie de criptare publică.
Actorii amenințați își pot folosi cheia privată pentru a accesa de la distanță routerele compromise. Backdoor este stocat în NVRAM -ul dispozitivului și poate persista chiar și după o repornire sau o actualizare a firmware -ului. Potrivit Greynoise, backdoor este în esență invizibil, cu exploatarea dezactivată pentru a sustrage în continuare detectarea.
Campania Vicioustrap se extinde lent, dar atacatorii încă nu și -au dezvăluit intențiile prin acțiuni sau atacuri specifice. ASUS a plasat deja vulnerabilitățile exploatate în actualizările recente ale firmware -ului. Cu toate acestea, orice spate existent va rămâne funcțional, cu excepția cazului în care un administrator a revizuit manual și a dezactivat accesul SSH.
Pentru a remedia problema, administratorii ar trebui să elimine cheia publică utilizată pentru accesul SSH neautorizat și să reseteze orice configurații personalizate de port TCP/IP. Odată ce acești pași sunt făcuți, routerele ASUS afectate ar trebui să revină la starea lor originală, fără compromisuri.
De asemenea, Greynoise recomandă administratorilor de rețea să monitorizeze traficul pentru conexiuni de la următoarele adrese IP suspecte:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
În cele din urmă, cercetătorii îi avertizează pe proprietarii Routers să instaleze întotdeauna cele mai recente actualizări ale firmware -ului. „Dacă se suspectează un compromis, efectuați o resetare completă din fabrică și reconfigurați manual”, au spus ei.
