Tysiące routerów zaatakowanych. Koniecznie sprawdźcie swoje sprzęty

Cyberprzestępcy atakują routery Asus na niespotykaną dotąd skalę. Eksperci alarmują: zagrożenie może być poważniejsze, niż się wydaje.

Zespół analityków cyberbezpieczeństwa z firmy GreyNoise ujawnił właśnie istnienie zaawansowanej kampanii cybernetycznej, w której wykorzystano ukryte tylne wejście – tzw. backdoor – do przejęcia kontroli nad ponad 9000 routerami firmy Asus na całym świecie. Nowo zidentyfikowane zagrożenie, określane kryptonimem „ViciousTrap”, jest wyjątkowo trudne do wykrycia i może przetrwać nawet po aktualizacji oprogramowania urządzeń.

Niewidzialny wróg w sieci

Backdoory, czyli tylne furtki, to specjalnie zaprojektowane mechanizmy pozwalające na zdalny, nieautoryzowany dostęp do urządzeń, z pominięciem tradycyjnych metod uwierzytelniania. Zazwyczaj pozostają one całkowicie niewidoczne dla użytkownika oraz administratora, dzięki czemu są chętnie wykorzystywane przez hakerów w działaniach szpiegowskich, atakach państwowych czy przestępczości zorganizowanej.

W przypadku ViciousTrap, cyberprzestępcy wykorzystali kombinację znanych oraz nieudokumentowanych luk w zabezpieczeniach, w tym krytyczną podatność CVE-2023-39780, aby uzyskać dostęp do urządzeń sieciowych i zainstalować niewidoczne mechanizmy kontroli. Jak twierdzą badacze z GreyNoise, proces ten odbywa się etapami: atakujący najpierw stosują metody logowania brute-force, a następnie wykorzystują funkcje routerów do włączenia zdalnego dostępu SSH i wstrzyknięcia klucza szyfrującego.

Dzięki temu mechanizmowi, posługując się odpowiadającym kluczem prywatnym, przestępcy mogą w każdej chwili uzyskać pełną kontrolę nad zainfekowanym routerem – bez żadnej autoryzacji, a nawet wiedzy użytkownika.

Złośliwe oprogramowanie ukryte w pamięci NVRAM

Najbardziej niepokojący aspekt ViciousTrap polega na tym, że backdoor przechowywany jest w pamięci NVRAM – trwałej części systemu, która nie zostaje wymazana nawet po restarcie urządzenia czy aktualizacji firmware’u. Co więcej, logowanie zdarzeń w tych przypadkach jest domyślnie wyłączone, co znacznie utrudnia wykrycie intruza i śledzenie jego aktywności.

„To klasyczny przykład cichej infiltracji – router pozostaje funkcjonalny, nic nie wskazuje na kompromitację, ale cały ruch sieciowy może być monitorowany lub przekierowywany przez zewnętrznego operatora” – ostrzegają specjaliści GreyNoise.

Tajemnicza kampania – bez motywu i bez działań

Choć pierwsze anomalie w ruchu sieciowym zaobserwowano już w marcu bieżącego roku, cyberprzestępcy jak dotąd nie wykorzystali zainfekowanej infrastruktury do żadnych otwartych działań. Eksperci przypuszczają, że mamy do czynienia z tzw. „kampanią przygotowawczą”, w której gromadzony jest dostęp do urządzeń, by móc wykorzystać je w przyszłości – na przykład do budowy potężnego botnetu lub przeprowadzenia skoordynowanego cyberataku.

GreyNoise potwierdził, że o incydencie poinformowano już odpowiednie agencje rządowe.

Choć firma Asus opublikowała już aktualizacje oprogramowania, które łatają znane luki, ViciousTrap nie znika automatycznie z zainfekowanych urządzeń. Aby całkowicie usunąć zagrożenie, eksperci zalecają wykonanie następujących kroków:

1. Wyłączenie nieautoryzowanego dostępu SSH – należy ręcznie przejrzeć konfigurację routera i upewnić się, że porty zdalnego dostępu są zamknięte lub ograniczone.

2. Usunięcie kluczy publicznych – administratorzy powinni zweryfikować wszystkie klucze SSH i usunąć te, które nie zostały przez nich dodane.

3. Reset do ustawień fabrycznych – w przypadku podejrzenia infekcji zaleca się wykonanie pełnego przywrócenia ustawień fabrycznych i ponowną konfigurację urządzenia.

Ponadto firma GreyNoise udostępniła listę podejrzanych adresów IP, z którymi mogą komunikować się zainfekowane urządzenia. Użytkownicy i administratorzy powinni monitorować ruch sieciowy w poszukiwaniu połączeń z następującymi adresami:

• 101.99.91.151

• 101.99.94.173

• 79.141.163.179

• 111.90.146.237

Specjaliści podkreślają również znaczenie regularnych aktualizacji oprogramowania układowego. Wielu użytkowników routerów domowych i firmowych nadal zaniedbuje tę praktykę, co czyni ich urządzenia łatwym celem dla cyberprzestępców.