Masz taki router? Pilnie musisz coś sprawdzić
Ponad 9 tys. routerów znanej firmy padło ofiarą cyberprzestępców. Zostały zainfekowane szkodliwym oprogramowaniem.
Zagrożenie zostało wykryte przez firmę GreyNoise, która zajmuje się kwestiami cyberbezpieczeństwa. Wiadomo, że celem oszustów padło ponad 9 tys. routerów marki ASUS, które zostały zainfekowane botnetem o nazwie "AyySSHush".
Masz taki router? To masz problem
Z doniesień wynika, że na celowniku cyberprzestępców znalazły się między innymi takie modele, jak: RT-AC3100, RT-AC3200 oraz RT-AX55. Hakerzy posłużyli się tutaj znanymi metodami. Wykorzystywali zarówno ataki typu brute-force, jak i znane podatności.
W ataku, przestępcy wykorzystują starą lukę typu "command injection", znaną jako CVE-2023-39780. Pozwala ona na dodanie własnego publicznego klucza SSH i włączenie demona SSH, który nasłuchuje na niestandardowym porcie TCP 53282. Te modyfikacje umożliwiają atakującym utrzymanie dostępu do urządzenia, nawet po ponownym uruchomieniu i aktualizacjach oprogramowania układowego.
Ponieważ ten klucz jest dodawany przy użyciu oficjalnych funkcji ASUS, ta zmiana konfiguracji jest zachowywana pomimo aktualizacji oprogramowania układowego. Jeśli urządzenie zostało wcześniej wykorzystane, aktualizacja oprogramowania układowego NIE usunie tylnej furtki SSH.
Dokładny cel operacyjny botnetu AyySSHush pozostaje niejasny. Nie ma sygnałów o atakach typu DDoS ani wykorzystywania zainfekowanych urządzeń do przekierowywania złośliwego ruchu przez routery ASUS. Jednakże, we włamaniach na routery pobierano i wykonywano złośliwy skrypt, który przekierowywał ruch sieciowy z zaatakowanego systemu na urządzenia kontrolowane przez atakującego.
Obecnie wydaje się, że kampania ta w sposób cichy buduje sieć routerów z backdoorami, tworząc podstawy dla przyszłego botnetu o nieznanym przeznaczeniu.
