Jauna hakeru kampaņa ir vērsta pret vairākiem ASUS maršrutētāju modeļiem. Saskaņā ar GreyNoise, kiberdrošības uzņēmuma, datiem, vismaz trīs dažādas ierīces izmanto “augsti kvalificēts un labi aprīkots” ļaundaris.
Satura rādītājs
Sarežģītas draudi bieži ir vērsti uz ļoti konkrētiem mērķiem, bet šī kampaņa ir daudz plašāka. Pētnieki jau ir atklājuši aptuveni 9000 uzlauztu ierīču, un, pēc viņu teiktā, šis skaits turpina pieaugt. Pieņemts, ka tiek likti pamati nākotnes botnet tīklam — galvenajam DDoS uzbrukumu elementam.
Pastāvīga piekļuve bez ļaunprātīgām programmām
Ļaunprātīgie izmanto bruto spēka metodes un izvairīšanās stratēģijas, kurām vēl nav piešķirts CVE identifikators, lai iegūtu sākotnējo piekļuvi. Kiberdrošībā CVE (Common Vulnerabilities and Exposures) ir standarta rokasgrāmata, ko izmanto, lai katalogizētu vispārēji zināmas ievainojamības.
Pēc šā pirmā soļa kibernoziedznieki izmanto konkrētu, jau dokumentētu ievainojamību, kas identificēta kā CVE-2023-39780 , lai izpildītu patvaļīgas komandas un mainītu maršrutētāja konfigurāciju no iekšpuses.
Mērķis nav instalēt tradicionālu vīrusu vai spiegprogrammatūru, bet gan kaut kas daudz smalkāks: atvērt attālinātu aizmugurējo durvju programmu. Lai to izdarītu, viņi ieslēdz piekļuvi SSH protokolam noteiktā portā (TCP/53282) un ievieto savu atklāto atslēgu NVRAM — iekšējā uzglabāšanas vietā, kas netiek dzēsta, pārstartējot maršrutētāju vai atjauninot tā programmatūru. Tādējādi uzbrucēja piekļuve tiek saglabāta ilgāku laiku, neatstājot nekādas redzamas pēdas.
Pētnieki atkārtoja uzbrukumu vairākiem konkrētiem modeļiem, tostarp ASUS RT-AC3100, RT-AC3200 un RT-AX55. Tas nav oficiāls uzlauzto ierīču saraksts, bet tas sniedz priekšstatu par to, kuras ierīces var tikt uzbruktas. Pašlaik nav izslēgts, ka izstādē var tikt prezentēti arī citi modeļi.
GreyNoise oficiāli nav attiecinājis kampaņu uz kādu konkrētu grupu. Tomēr tas norāda, ka izmantotās metodes (leģitīmu sistēmas funkciju izmantošana, darbības žurnālu atslēgšana un redzamu ļaunprogrammatūru neesamība) ir tipiski pazīmes augsti tehnoloģiskām ilgtermiņa uzbrukumiem .
Šādas operācijas parasti saistītas ar tā sauktajām APT uzbrukumiem, kas nozīmē “uzlabota pastāvīga drauds”. Tās ir kibernoziedznieku grupas, kas darbojas, izmantojot modernākos tehniskos līdzekļus, lielu piesardzību un sasniedz ļoti konkrētus mērķus, kas bieži saistīti ar stratēģiskām vai valsts interesēm.
Atklājums tika veikts 18. martā, pateicoties Sift, analītiskajam rīkam, ko izstrādājusi GreyNoise. Detalizētas informācijas publicēšana tika apzināti atlikta, lai atvieglotu koordināciju ar valsts iestādēm un nozares uzņēmumiem pirms tās publicēšanas.
Kā uzzināt, vai jūsu maršrutētājs ir uzlauzts
ASUS ir novērsis ievainojamību CVE-2023-39780 nesenajā programmaparatūras atjauninājumā. Tomēr, ja ierīce tika uzlauzta pirms labojuma piemērošanas, attālā piekļuve var būt joprojām aktīva.
GreyNoise piedāvā vairākus pasākumus, kas var palīdzēt atklāt maršrutētāja uzlaušanu, lai gan daži no tiem var izrādīties sarežģīti tiem, kas nav pazīstami ar tehniskajiem jēdzieniem vai neprot konfigurēt sarežģītas ierīces. Tomēr tie ir vērts zināt:
- Atveriet maršrutētāja iestatījumus un pārbaudiet, vai SSH protokola piekļuve TCP/53282 portā ir ieslēgta.
- Pārbaudiet failu ar nosaukumu authorized_keys, jo tas var saturēt neatļautu atklāto atslēgu.
- Bloķējiet šādus ar kampaņu saistītos IP adreses: 101.99.91.151, 101.99.94.173, 79.141.163.179 un 111.90.146.237.
- Ja jums ir aizdomas, ka jūsu ierīce ir skarta, veiciet pilnīgu iestatījumu atiestatīšanu uz rūpnīcas iestatījumiem un konfigurējiet to no jauna manuāli.
Uzbrukuma mērogs un tā spēja palikt neatklāta apstiprina galveno mācību: mājas maršrutētāju drošība nav jāuzskata par pašsaprotamu. Lai gan šajā gadījumā ļaunprātīga programmatūra netika instalēta, ļaundari atstāja iespēju uzbrukumam.
Mēs sazinājāmies ar ASUS, lai saņemtu komentārus par šo kampaņu un uzzinātu, vai viņi plāno piedāvāt kādus jaunus pasākumus vai papildu ieteikumus. Mēs atjauninājām šo rakstu 30. maijā plkst. 16:05 pēc Centrāleiropas laika, pievienojot, ka ASUS mums paziņoja, ka problēma ir atrisināta un ka viņi iesaka lietotājiem vienmēr atjaunināt savas ierīces.
