Asusovi kućni i uredski ruteri imaju malware koji preživljava resetiranje
Otkriveno je da tisuće Asusovih kućnih i uredskih rutera ima otvoren backdoor pristup koji preživljava resetiranje i ažuriranje firmvera
Sigurnosna tvrtka GreyNoise otkrila je da su tisuće kućnih i uredskih rutera iz Asusa zaraženi prikrivenim backdoor pristupom koji može preživjeti resetiranja i ažuriranja firmvera uređaja. „Napad provodi nepoznati akter koji bi mogao biti povezan s nekom državom ili drugom dobro opremljenom prijetnjom.“ (S obzirom da se izrijekom ne spominje Kina, vjerojatno se radi o aktivnosti zapadnih službi.)
Napadači pristupaju uređajima iskorištavanjem već zakrpanih ranjivosti. Nakon dobivanja neovlaštenog administratorskog pristupa uređajima, napadač instalira javni enkripcijski ključ za pristup uređaju putem SSH protokola. Od tog trenutka, svatko s privatnim ključem može se automatski prijaviti na uređaj s administratorskim pravima.
Pristup napadača preživljava i ponovno pokretanje i ažuriranja firmvera, što im daje trajnu kontrolu nad zahvaćenim uređajima. Napadač održava dugoročni pristup bez ostavljanja zlonamjernog softvera ili očitih tragova, povezujući zaobilaženja autentifikacije, iskorištavajući poznate ranjivosti i zloupotrebljavajući legitimne konfiguracijske značajke.
GreyNoise je pratio oko 9.000 uređaja diljem svijeta koji su kompromitirani u ovoj kampanji, a taj broj i dalje raste. Istraživači tvrtke navode da nemaju naznaka da je napadač već upotrijebio zaražene uređaje u nekoj aktivnosti. Umjesto toga, napadi se čine kao početna faza u kojoj napadač prikuplja velik broj kompromitiranih uređaja za buduću upotrebu.
Aktivnost koju je GreyNoise primijetio dio je veće kampanje o kojoj je prošlog tjedna izvijestila sigurnosna tvrtka Sekoia. Istraživači Sekoie naveli su da skeniranje Interneta koje je provela tvrtka za mrežnu inteligenciju Censys sugerira da je možda kompromitirano čak 9.500 Asusovih rutera.
Jedini način da korisnici rutera utvrde jesu li njihovi uređaji zaraženi jest provjerom SSH postavki u konfiguracijskom panelu. Zaraženi ruteri pokazat će da se na uređaj može prijaviti putem SSH-a preko porta 53282 koristeći digitalni certifikat s ključem koji počinje s "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...".
Za uklanjanje stražnjih vrata, zaraženi korisnici trebaju ukloniti ključ i postavku porta.
Korisnici također mogu utvrditi jesu li bili meta ako sistemski zapisi pokazuju da im je pristupano putem IP adresa 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 ili 111.90.146[.]237.
