К маю 2025 года эксперты Censys зафиксировали около 9000 скомпрометированных маршрутизаторов ASUS. Эта массовая кампания, впервые выявленная 18 марта аналитиками GreyNoise, демонстрирует изощренные методы злоумышленников, которые обеспечивают постоянный и малозаметный контроль над устройствами пользователей.
Режим работы злоумышленников: тихая и длительная эксплуатация
Анализ активности указывает на крайне скрытный характер атаки: за три месяца злоумышленники выполнили лишь около 30 запросов к заражённым маршрутизаторам. Такой подход соответствует методологиям APT (Advanced Persistent Threat), сосредоточенным на длительном и незаметном присутствии в системе.
Используемые уязвимости и методы доступа
Для проникновения в маршрутизаторы злоумышленники применяют комплекс методов:
- атаки методом _brute force_ на учётные записи;
- обход аутентификации с использованием уязвимости CVE-2023-39780, связанной с внедрением команд и выполнением произвольных системных команд;
- включение SSH-доступа через нестандартный пользовательский порт TCP/53282;
- установку вредоносного открытого ключа для удалённого доступа;
- отключение ведения журнала (logging) для минимизации следов эксплуатации.
Особенностью атаки является сохранение бэкдора в энергонезависимой памяти (NVRAM), что обеспечивает его сохранение даже при обновлении прошивки и перезагрузке устройства.
Отсутствие традиционного вредоносного ПО и долговременная устойчивость
В отличие от классических вредоносных программ, злоумышленники не загружают дополнительное ПО, а используют _встроенные функции ASUS_ для сохранения доступа. Благодаря отключению логирования и хранению бэкдора в NVRAM, обнаружить компрометацию становится крайне сложно, что значительно осложняет защиту и расследование инцидентов.
Оценка угрозы и действия поставщика
Эксперты GreyNoise охарактеризовали атакующего как «изощрённого и хорошо обеспеченного ресурсами» хакера, что указывает на высокую организацию и подготовку этой кампании. Однако прямых доказательств причастности к конкретной группе пока нет.
Компания ASUS выпустила обновление прошивки, закрывающее уязвимость CVE-2023-39780. Тем не менее, другие методы начального доступа остаются не зафиксированными в базе CVE и не патчены, что сохраняет потенциальные риски.
Важно понимать, что если устройство было взломано до установки обновления, бэкдор сохраняется и может продолжать работу, если пользователь специально не проверит и не удалит вредоносные настройки.
Рекомендации для пользователей
В текущей ситуации особенно важно, чтобы владельцы маршрутизаторов ASUS:
- регулярно проверяли наличие обновлений прошивки и своевременно их устанавливались;
- пересматривали настройки SSH, отключая ненужный доступ и меняя порты по умолчанию;
- контролировали логи системы, если это возможно, и обращали внимание на подозрительную активность;
- приобретали устройства у надежных поставщиков и избегали использования устаревших моделей.
_Текущая ситуация подчёркивает важность системного подхода к кибербезопасности домашних и корпоративных сетей._ Своевременное обновление и тщательная конфигурация устройств защитят пользователей от долгосрочных скрытых атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кампания скрытых атак на маршрутизаторы ASUS с использованием CVE-2023-39780".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.