Greynoise, firma cyberbezpieczeństwa, zidentyfikowała kampanię, w której napastnicy dotarli do routerów ASUS związanych z Internetem. Wydaje się, że cel budowy zdecentralizowanej sieci uszkodził sprzęt, co było podstawą późniejszej infrastruktury botnetu.
Według ekspertów atakujących powinni charakteryzować się wysoce dojrzałymi technicznie cechami: na przykład sprawcy powinni używać znanych słabości, unikać szokowania złośliwego oprogramowania i stale stosować dostęp – poprzez ponowne uruchomienie i aktualizacje oprogramowania układowego. Dostęp jest zatem z kombinacją ataków brutalnej siły, omijania uwierzytelniania i użycia uzasadnionych opcji konfiguracji ASUS.
Greynoise jest w stanie odkryć ataki i naśladować profile routera za pomocą własnej platformy analitycznej opartej na sztucznej inteligencji. Dzięki tej infrastrukturze można zidentyfikować nieprawidłowe zapytania sieciowe, a cały łańcuch ataku można odbudować. Napisz firmę za pośrednictwem bloga.
Dotknięty router umożliwia dostęp do SSH za pośrednictwem portu wyjątków (TCP/53282), a atakujący podłącza swój własny klucz publiczny, aby uzyskać stały zdalne sterowanie. Zmiany te są przechowywane w pamięci nie lukrowanej (NVRAM) i przetrwanie okresowe aktualizacje. Dziennik routera jest dezaktywowany, co sprawia, że aktywność jest szczególnie trudna do rozpoznania.
Na dzień 27 maja 2025 r. Obliczono prawie 9 000 dotkniętych urządzeń – trend rośnie. Usunięcie tylnych drzwi wymaga ręcznej interwencji, ponieważ proste aktualizacje oprogramowania układowego nie wystarczą. Greynoise zaleca sprawdzenie właściciela routera ASUS za pośrednictwem TCP/53282, aby sprawdzić, czy uzyskują dostęp do SSH Access i sprawdzanie pliku „autoryzacja_kes” dla nieautoryzowanych wpisów. Ponadto niektóre adresy IP powinny zostać zablokowane (101.91.151, 101.94.173, 79.141.163.179, 111.90.146.237), a jeśli podejrzewa się kompromis, zaleca się zastosowanie kompletnego sprzętu fabrycznego i ręcznej konfiguracji i ręcznej konfiguracji. (MW)
(TagStotranslate) bezpieczeństwo
Source link
