Una nueva campaña de intrusión ha proporcionado varios modelos de Enrutador asus. Según GraynoiseAl menos tres dispositivos diferentes especializados en seguridad cibernética están «altamente calificados y explotados con recursos suficientes».
Las amenazas exigentes generalmente están dirigidas a objetivos muy específicos, pero esta campaña tiene un patrón más amplio. Los investigadores ya han descubierto alrededor de 9,000 dispositivos comprometidos y aseguran que el número continúe aumentando. Se cree que las bases para una red de BOT futura podrían ser una pieza clave para los ataques DDoS.
Acceso persistente sin malware
Los atacantes reciben el primer acceso a través de Técnicas de bruto -kraft Y el uso de estrategias alternativas que aún no tienen identificador CVe. En seguridad cibernética, un CVE (acrónimo de debilidades y exposición comunes) es una referencia estándar con la cual las vulnerabilidades conocidas se catalogan públicamente.
Después de este primer paso, uso cibernético, una cierta susceptibilidad ya documentada que se identificó como se identificó CVE-2023-39780Para llevar a cabo cualquier comando y cambiar la configuración del enrutador desde el interior.
El objetivo no es instalar un virus de espía tradicional o un software convencional, sino algo más sutil: abrir una puerta trasera remota. Para hacer esto, habilite el acceso SSH en un cierto puerto (TCP/53282) e inserte su propia clave pública en el almacenamiento NVRAM, un tipo de memoria interna que es que es que No se elimina reiniciando el enrutador Incluso al actualizar su firmware. De esta manera, el acceso del atacante permanece en buen momento sin dejar ningún signo obvio.
Los investigadores repitieron el ataque a varios modelos específicos, incluido el ASUS RT-AC3100, RT-AC3200 y RT AX55. No es una lista oficial de dispositivos comprometidos, sino una pista sobre la que podría estar en el centro de atención. Por el momento no se excluye que otros modelos también estén expuestos.
Greynoise atribuyó oficialmente la campaña a un determinado grupo. Sin embargo, señala que las técnicas utilizadas (el uso de funciones legítimas del sistema, la desactivación de los registros de actividad y la falta de malware visible) son características comunes de Ataques muy sofisticados y planeado a largo plazo.
Estos tipos de operaciones generalmente están conectados a las llamadas. ADECUADOAcrónimo en inglés La avanzada amenaza continua. Estos son grupos de efectos cibernéticos que actúan con medios técnicos avanzados, gran discreción y objetivos muy definidos que a menudo están relacionados con los intereses estratégicos o estatales.
El hallazgo ocurrió en el pasado 18 de marzoGracias a SIETEUna herramienta de análisis desarrollada por Greynoise. La publicación de los detalles Se retrasó deliberadamente para facilitar la coordinación con las autoridades públicas y las empresas en la industria antes de hacerlo público.
Entonces sabes si tu enrutador ha sido cometido
ASUS ha corregido la vulnerabilidad CVE-2023-39780 En una actualización de firmware recientemente realizada. Sin embargo, si el dispositivo se ha comprometido antes de usar este parche, el acceso remoto puede permanecer activo.
Greynoise ofrece una serie de pasos que pueden ayudar a determinar si un enrutador se ve afectado, aunque es cierto que algunos de ellos son ciertos Puedes ser complejo Para aquellos que no están familiarizados con los conceptos técnicos o que no son simplemente tratados en la configuración de los dispositivos extendidos. Sin embargo, es cómodo conocerlos:
- Use la configuración de su enrutador y verifique si se activa el acceso a SSH en TCP/53282 -Port.
- Verifique el archivo llamado Autorizado_keysPorque podría contener una clave pública no autorizada.
- Bloquee estas direcciones IP asignadas a la campaña: 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237.
- Si sospecha que su dispositivo se ve afectado, realice una recuperación de producción completa y configúrelo manualmente.
El alcance del ataque y su capacidad para permanecer oculto intensificar una lección clave: la seguridad del enrutador doméstico no debe darse por sentado. Aunque el malware no se instaló en este caso, los atacantes están Dejaste una puerta abierta.
Nos pusimos en contacto con ASUS para solicitar comentarios sobre esta campaña y saber si desea ofrecer nuevas medidas o recomendaciones adicionales. Este artículo se actualiza cuando recibimos una respuesta oficial para su parte.
Fotos | Freepik | Asus
En | Alcasec no es un hacker juvenil: ha establecido una infraestructura criminal española que incluso tenía un bot de servicio al cliente
(Function () {window._js_modules = window._js_modules || {}; var hadelement = document.getelegsbytagname (‘head’)[0]; if (_js_modules.instagram) {var instagramscript = document.creatElement (‘script’); Instagramscript.src = «instagramscript.async = true; instagramscript.defer = true; hadelement.appendChild (Instagramscript);}) (); –
La noticia
Miles de enrutadores Asus han emprendido una campaña de intrusión: reiniciar la amenaza no se elimina
Fue publicado originalmente en
Por Javier Márquez.
