Firma za obavještajnu analizu bezbjednosnih prijetnji GreyNoise u srijedu je otkrila prikrivenu kampanju malicioznog softvera koja je tiho pretvorila hiljade ASUS rutera, izloženih internetu u kućnim i malim kancelarijskim okruženjima, u čvorove sa backdoor pristupom – i to još od sredine marta.
U upozorenju koordinisanom sa vladinim i industrijskim partnerima, GreyNoise iz Vašingtona saopštio je da neidentifikovani napadači kombinuju bruteforce prijavljivanja, dvije starije ranjivosti zaobilaženja autentifikacije i grešku iz 2023. godine koja omogućava komandno ubrizgavanje, kako bi preuzeli punu kontrolu nad uređajima, a zatim koriste legitimna podešavanja za zaključavanje tog pristupa.
Rezultat toga je ono što GreyNoise naziva „AyySSHush“ – mreža rutera koja može da preživi ažuriranja firmvera, fabrička resetovanja i većinu anti-malware skeniranja, idealna osnova za buduću botnet infrastrukturu ili relej mrežu za profesionalne hakerske timove.
Koristeći podatke skeniranja sa Censys platforme, GreyNoise procjenjuje da je oko 9.000 ASUS rutera kompromitovano.
Nezavisno od toga, francuska bezbjednosna istraživačka firma Sekoia upozorila je da je haker koji govori kineski, poznat kao „ViciousTrap“, kompromitovao više od 5.500 edge uređaja, pretvarajući ih u honeypot sisteme.
Sekoia navodi da ovaj haker prati više od 50 brendova, uključujući SOHO rutere, SSL VPN-ove, DVR-ove i BMC kontrolere, vjerovatno u cilju prikupljanja podataka o ranjivostima i iskorištavanjima koja pogađaju te sisteme.
Prema informacijama iz GreyNoise-a, njihov interni sistem za detekciju anomalija pod nazivom „Sift“ detektovao je tri neuobičajena HTTP POST zahtjeva usmjerenih ka potpuno emuliranim ASUS ruterima unutar senzorskog sistema kompanije.
Istraživači su rekonstruisali lanac napada koji uključuje isključivanje ugrađenih AiProtection funkcija, omogućavanje SSH-a na TCP portu 53282, i postavljanje javnog ključa pod kontrolom napadača u nevolatilnu memoriju. Budući da se izmjene čuvaju u NVRAM-u, a ne na disku, GreyNoise je utvrdio da backdoor ostaje prisutan čak i nakon što administratori zakrpe firmver ili isključe i uključe ruter.
Napadači su takođe primijećeni kako onemogućavaju logovanje radi prikrivanja svojih aktivnosti.
U središtu ovog lanca eksploatacije nalazi se ranjivost označena kao CVE-2023-39780 – greška komandnog ubrizgavanja u više modela ASUS rutera, koju je proizvođač tiho zakrpio u posljednjim verzijama firmvera. GreyNoise navodi da napadači prvo pogađaju slabe pristupne podatke ili koriste dvije još nezaključene metode zaobilaženja autentifikacije kako bi pristupili administratorskom interfejsu. Zatim se koristi već zakrpljena bezbjednosna greška za izvršavanje sistemskih komandi.
„Taktike korišćene u ovoj kampanji – prikriven inicijalni pristup, upotreba ugrađenih sistemskih funkcija za postojanost i pažljivo izbjegavanje detekcije – u skladu su sa onima koje viđamo u naprednim, dugoročnim operacijama“, upozorava GreyNoise.
„Nivo sofisticiranosti ukazuje na protivnika koji raspolaže ozbiljnim resursima i visokim sposobnostima“, dodaje kompanija.
Izvor: SecurityWeek
