Uusi hakkerointikampanja kohdistuu useisiin ASUS-reitittimet . Kyberturvallisuusyritys GreyNoise :n mukaan vähintään kolmea eri laitetta käyttää ”korkeasti koulutettu ja hyvin varustettu” hyökkääjä.
Sisällysluettelo
Monimutkaiset uhat kohdistuvat usein hyvin tarkkoihin kohteisiin, mutta tämä kampanja on laajempi. Tutkijat ovat jo löytäneet noin 9000 hakkeroitua laitetta, ja heidän mukaansa määrä kasvaa edelleen. Oletetaan, että perustetaan pohja tulevalle botnet-verkostolle, joka on keskeinen osa DDoS-hyökkäyksiä.
Jatkuva pääsy ilman haittaohjelmia
Hyökkääjät saavat alkuperäisen pääsyn brute force -menetelmillä ja käyttämällä kiertostrategioita, joilla ei vielä ole CVE-tunnistetta. Kyberturvallisuudessa CVE (Common Vulnerabilities and Exposures) on standardi viitekirja, jota käytetään yleisesti tunnettujen haavoittuvuuksien luettelointiin.
Tämän ensimmäisen vaiheen jälkeen kyberrikolliset käyttävät tiettyä, jo dokumentoitua haavoittuvuutta, joka on tunnistettu nimellä CVE-2023-39780 , suorittaakseen mielivaltaisia komentoja ja muuttaakseen reitittimen kokoonpanoa sisäisesti.
Tavoitteena ei ole perinteisen viruksen tai vakoiluohjelman asentaminen, vaan jotain hienovaraisempaa: etäkäyttöisen takaoven avaaminen. Tätä varten he ottavat käyttöön SSH-protokollan tietyllä portilla (TCP/53282) ja lisäävät oman avoimen avaimen NVRAM-muistiin, joka on sisäisen tallennustilan tyyppi, jota ei voida poistaa reitittimen uudelleenkäynnistyksellä tai laiteohjelmiston päivityksellä. Tällä tavoin hyökkääjän pääsy säilyy pitkään ilman näkyviä jälkiä.
Tutkijat toistivat hyökkäyksen useilla tietyillä malleilla, mukaan lukien ASUS RT-AC3100, RT-AC3200 ja RT-AX55. Tämä ei ole virallinen luettelo hakkeroiduista laitteista, mutta se antaa käsityksen siitä, mitkä laitteet voivat olla hyökkäyksen kohteena. Tällä hetkellä ei voida sulkea pois mahdollisuutta, että messuilla esitetään myös muita malleja.
GreyNoise ei ole virallisesti osoittanut kampanjaa millekään tietylle ryhmälle. Se kuitenkin huomauttaa, että käytetyt menetelmät (laillisten järjestelmätoimintojen käyttö, aktiivisuuslokien poistaminen käytöstä ja näkyvien haittaohjelmien puuttuminen) ovat tyypillisiä merkkejä korkean teknologian pitkäaikaisista hyökkäyksistä .
Tällaiset operaatiot liittyvät yleensä niin kutsuttuihin APT-hyökkäyksiin, jotka tarkoittavat ”kehittynyttä jatkuvaa uhkaa”. Nämä ovat kyberrikollisryhmiä, jotka toimivat käyttäen kehittyneitä teknisiä keinoja, suurta varovaisuutta ja tavoittelevat hyvin konkreettisia tavoitteita, jotka liittyvät usein strategisiin tai valtion etuihin.
Löytö tehtiin 18. maaliskuuta Sift -analyysityökalun avulla, jonka on kehittänyt GreyNoise. Yksityiskohtien julkaiseminen viivästyi tarkoituksella, jotta toimia voitiin koordinoida helpommin viranomaisten ja alan yritysten kanssa ennen niiden julkistamista.
Kuinka voit selvittää, onko reitittimesi hakkeroitu
ASUS on korjannut haavoittuvuuden CVE-2023-39780 äskettäisessä laiteohjelmistopäivityksessä. Jos laite on kuitenkin hakkeroitu ennen korjauksen asentamista, etäkäyttö voi olla edelleen aktiivinen.
GreyNoise tarjoaa joukon toimenpiteitä, jotka voivat auttaa havaitsemaan reitittimen hakkeroinnin, vaikka jotkut niistä voivat olla vaikeita niille, jotka eivät ole perehtyneet teknisiin käsitteisiin tai osaa konfiguroida monimutkaisia laitteita. Ne on kuitenkin hyvä tietää:
- Avaa reitittimen asetukset ja tarkista, onko SSH-yhteys sallittu TCP/53282-portissa.
- Tarkista tiedosto nimeltä authorized_keys , koska se voi sisältää luvattoman avaimen.
- Estä seuraavat kampanjaan liittyvät IP-osoitteet: 101.99.91.151, 101.99.94.173, 79.141.163.179 ja 111.90.146.237.
- Jos epäilet, että laitteesi on vaarantunut, palauta sen tehdasasetukset ja määritä se uudelleen manuaalisesti.
Hyökkäyksen laajuus ja sen kyky pysyä piilossa vahvistavat tärkeän opetuksen: kotireitittimien turvallisuutta ei pidä pitää itsestäänselvyytenä. Vaikka tässä tapauksessa haittaohjelmaa ei asennettu, hyökkääjät jättivät mahdollisuuden hyökkäykseen.
Olemme pyytäneet ASUS:lta kommentteja tästä kampanjasta ja kysyneet, aikooko se ehdottaa uusia toimenpiteitä tai lisäsuosituksia. Olemme päivittäneet tämän artikkelin 30. toukokuuta klo 16.05 Keski-Euroopan aikaa ja lisänneet, että ASUS on ilmoittanut meille, että ongelma on ratkaistu ja että se suosittelee käyttäjille laitteiden päivittämistä aina.
