Понад 9 тис. маршрутизаторів Asus у всьому світі вже зламано у межах масштабної атаки, що пов’язується з діяльністю добре ресурсованого зловмисника — імовірно, підтримуваного державою. Хакери отримують постійний доступ до пристроїв, який зберігається навіть після перезавантаження чи оновлення прошивки.
Понад 9 тис. маршрутизаторів Asus у всьому світі вже зламано у межах масштабної атаки, що пов’язується з діяльністю добре ресурсованого зловмисника — імовірно, підтримуваного державою. Хакери отримують постійний доступ до пристроїв, який зберігається навіть після перезавантаження чи оновлення прошивки.
За даними GreyNoise, зловмисники використовують кілька уразливостей, зокрема CVE-2023-39780 — вразливість типу командної інʼєкції, що дозволяє запускати системні команди віддалено. Інші використані баги наразі не мають CVE-ідентифікаторів, але вже виправлені виробником.
Після отримання адміністративного доступу хакери додають власний публічний ключ для SSH-доступу через порт 53282. Це дозволяє будь-кому з відповідним приватним ключем підключатися до роутера з повними правами адміністратора, уникаючи виявлення антивірусами або системами моніторингу.
GreyNoise повідомляє, що доступ зберігається навіть після оновлення прошивки або перезавантаження пристрою. Таким чином, йдеться не про класичну «малварну» атаку, а про зловживання легітимними механізмами конфігурації. Цю тактику фахівці називають «невидимим бекдором».
Кампанія триває з березня, проте її не розкривали до моменту інформування державних органів, що може свідчити про зв’язок атаки з діяльністю певної країни. Незалежно від мотивації, ознак використання зламаних роутерів у шкідливих цілях поки не виявлено. Проте ймовірно, що йдеться про підготовку інфраструктури для подальших дій.
Паралельно з GreyNoise, схожу активність зафіксувала компанія Sekoia. Вони відстежують цю кампанію під назвою ViciousTrap. Сканування від Censys показало, що кількість зламаних пристроїв може досягати 9500.
Користувачі можуть виявити наявність бекдору, відкривши налаштування SSH у панелі керування роутером. Якщо активовано порт 53282 і присутній публічний ключ, що починається з:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Щоб усунути загрозу, необхідно вручну видалити цей ключ і вимкнути відповідний порт
Ознакою атаки також можуть бути з'єднання з наступними IP-адресами:
Користувачам радять оновити прошивку роутера до останньої версії та регулярно перевіряти системні логи.
Це не перша атака на домашні маршрутизатори. З 2020 року фахівці з кібербезпеки фіксують тенденцію до створення ботнетів на основі зламаних IoT-пристроїв. На тлі війни та активного використання кіберпростору для шпіонажу та атак, українським користувачам особливо важливо не нехтувати оновленнями прошивки навіть у домашній мережі.
Нагадаємо, у нашій стрічці також виходив матеріал про те, як хакери щонайменше вісім місяців поширюють шкідливу версію KeePass, яка встановлює Cobalt Strike, викрадає паролі та додає програми, які шкодять пристрою.
