هزاران روتر ایسوس که توسط پشت پرده “شرور” به خطر افتاده است

تصویر بزرگ: Backdoors به ​​طور معمول برای دور زدن روش های سنتی تأیید هویت و دسترسی از راه دور غیرمجاز به لوازم شبکه آسیب پذیر یا دستگاه های نقطه پایانی طراحی شده است. موثرترین پشتوانها برای کاربران نهایی و مدیران سیستم نامرئی هستند و آنها را برای بازیگران تهدید کننده درگیر در کمپین های مخفی سایبری مخفی جذاب می کند.

تحلیلگران Greynoise از یک کمپین اسرارآمیز مبتنی بر پشت پرده پرده برداشته اند که بیش از ۹۰۰۰ روتر ایسوس را تحت تأثیر قرار می دهد. مجرمان سایبری ناشناخته در حال سوءاستفاده از آسیب پذیری های امنیتی هستند – برخی از آنها قبلاً وصله شده اند – در حالی که برخی دیگر هرگز به ورودی های پیگیری مناسب در پایگاه داده CVE اختصاص داده نشده اند. این داستان پر از “ناشناخته” است ، زیرا مهاجمان هنوز با بوتنت قابل توجهی که ساخته اند ، اقدامات قابل توجهی را انجام نداده اند.

پشتی که اکنون به عنوان “شرور” ردیابی شده است ، برای اولین بار توسط سیستم اختصاصی AI Greynoise ، Sift مشخص شد. هوش مصنوعی در ماه مارس ترافیک غیر عادی را تشخیص داد و محققان را وادار کرد تا در مورد تهدید جدید تحقیق کنند و تا پایان ماه به مقامات دولتی اطلاع دهند. اکنون ، فقط چند روز پس از افشای یک شرکت امنیتی دیگر ، این کمپین را فاش کرد ، Greynoise یک پست وبلاگ را منتشر کرده است که جزئیات شرور را ارائه می دهد.

به گفته محققان ، هزاران دستگاه شبکه ASUS قبلاً توسط این پشتی خفا به خطر افتاده اند. مهاجمان ابتدا با سوءاستفاده از نقص های امنیتی متعدد و دور زدن تأیید اعتبار از طریق تلاش های ورود به سیستم بی رحمانه ، به آنها دسترسی پیدا می کنند. آنها سپس برای اجرای دستورات روی روتر ، از آسیب پذیری دیگری (CVE-2023-39780) استفاده می کنند و از یک ویژگی قانونی ASUS سوء استفاده می کنند تا دسترسی SSH را در یک درگاه TCP/IP خاص امکان پذیر کند و یک کلید رمزگذاری عمومی را تزریق کند.

سپس بازیگران تهدید می توانند از کلید خصوصی خود برای دسترسی از راه دور به روترهای به خطر افتاده استفاده کنند. Backdoor در NVRAM دستگاه ذخیره می شود و حتی می تواند حتی پس از راه اندازی مجدد یا به روزرسانی سیستم عامل ادامه یابد. به گفته Greynoise ، Backdoor اساساً نامرئی است و ورود به سیستم غیرفعال برای فرار بیشتر از تشخیص است.

کمپین شرور به آرامی در حال گسترش است ، اما مهاجمان هنوز اهداف خود را از طریق اقدامات یا حملات خاص فاش نکرده اند. ایسوس قبلاً در به روزرسانی های اخیر سیستم عامل ، آسیب پذیری های بهره برداری شده را تحت تأثیر قرار داده است. با این حال ، هر یک از پشتی موجود عملکردی باقی خواهد ماند ، مگر اینکه یک مدیر به صورت دستی دسترسی SSH را بررسی و غیرفعال کند.

برای اصلاح این مسئله ، مدیران باید کلید عمومی مورد استفاده برای دسترسی غیرمجاز SSH را حذف کرده و تنظیمات پورت TCP/IP سفارشی را تنظیم مجدد کنند. پس از انجام این مراحل ، روترهای ایسوس تحت تأثیر قرار گرفتند و باید به حالت اصلی و غیر سازگار خود بازگردند.

Greynoise همچنین به مدیران شبکه توصیه می کند که ترافیک مربوط به اتصالات را از آدرس های IP مشکوک زیر نظارت کنند:

• ۱۰۱.۹۹.۹۱.۱۵۱
• ۱۰۱.۹۹.۹۴.۱۷۳
• ۷۹.۱۴۱.۱۶۳.۱۷۹
• ۱۱۱.۹۰.۱۴۶.۲۳۷

سرانجام ، محققان به صاحبان روترها هشدار می دهند که همیشه آخرین به روزرسانی های سیستم عامل را نصب کنند. آنها گفتند: “اگر به سازش مشکوک است ، تنظیم مجدد کارخانه را به صورت دستی انجام دهید.”