Qualcuno sta costruendo un esercito di router compromessi, per scopi ancora da scoprire
Il quadro generale: Le backdoor sono comunemente progettate per eludere i metodi di autenticazione tradizionali e fornire un accesso remoto non autorizzato a dispositivi di rete vulnerabili o terminali. Le backdoor più efficaci rimangono invisibili sia agli utenti finali che agli amministratori di sistema, rendendole particolarmente attraenti per gli attori di minacce impegnati in campagne di spionaggio informatico nascoste.
Gli analisti di GreyNoise hanno scoperto una misteriosa campagna basata su backdoor che colpisce più di 9.000 router Asus. I cybercriminali sconosciuti stanno sfruttando vulnerabilità di sicurezza – alcune delle quali sono già state corrette – mentre altre non sono mai state registrate adeguatamente nel database CVE. La vicenda è piena di “incognite”, poiché gli aggressori non hanno ancora intrapreso azioni visibili con l’enorme botnet che hanno costruito.
La backdoor, ora monitorata come “ViciousTrap”, è stata identificata per la prima volta dal sistema AI proprietario di GreyNoise, Sift. L’IA ha rilevato traffico anomalo a marzo, spingendo i ricercatori a indagare sulla nuova minaccia e a notificare le autorità governative entro la fine del mese. Ora, a pochi giorni da quando un’altra azienda di sicurezza ha rivelato la campagna, GreyNoise ha pubblicato un post sul blog dettagliando ViciousTrap.
Secondo i ricercatori, migliaia di dispositivi di rete Asus sono già stati compromessi da questa backdoor furtiva. Gli aggressori ottengono l’accesso sfruttando molteplici falle di sicurezza e bypassando l’autenticazione attraverso tentativi di login con forza bruta. Successivamente, sfruttano un’altra vulnerabilità (CVE-2023-39780) per eseguire comandi sul router, abusando di una funzione legittima Asus per abilitare l’accesso SSH su una specifica porta TCP/IP e iniettare una chiave di cifratura pubblica.
Gli attori della minaccia possono quindi utilizzare la loro chiave privata per accedere da remoto ai router compromessi. La backdoor è memorizzata nella NVRAM del dispositivo e può persistere anche dopo un riavvio o un aggiornamento del firmware. Secondo GreyNoise, la backdoor è sostanzialmente invisibile, con la registrazione disabilitata per evitare ulteriormente il rilevamento.
La campagna ViciousTrap si sta lentamente espandendo, ma gli aggressori non hanno ancora rivelato le loro intenzioni attraverso azioni o attacchi specifici. Asus ha già corretto le vulnerabilità sfruttate negli aggiornamenti firmware più recenti. Tuttavia, qualsiasi backdoor esistente rimarrà funzionante a meno che un amministratore non abbia esaminato e disabilitato manualmente l’accesso SSH.
Per risolvere il problema, gli amministratori dovrebbero rimuovere la chiave pubblica utilizzata per l’accesso SSH non autorizzato e reimpostare qualsiasi configurazione personalizzata della porta TCP/IP. Una volta eseguiti questi passaggi, i router Asus interessati dovrebbero tornare al loro stato originale non compromesso.
GreyNoise consiglia anche agli amministratori di rete di monitorare il traffico per le connessioni provenienti dai seguenti indirizzi IP sospetti:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Infine, i ricercatori avvertono i proprietari dei router di installare sempre gli ultimi aggiornamenti firmware. “Se si sospetta un compromesso, eseguire un ripristino completo di fabbrica e riconfigurare manualmente,” hanno dichiarato.
Messaggi simili:
- Rilasciato Micropatch per Critica Vulnerabilità Zero-Day su Tre Generazioni di Windows
- Microsoft blocca il primo attacco zero-click a un agente AI: ecco cosa sapere!
- Apple risolve due vulnerabilità zero-day su sistemi macOS Intel: Aggiornate Subito!
- Decine di Condomini a Rischio per una Sola Password Predefinita!
- Svelati i Segreti del Sindicato Ransomware Black Basta: Scopri il Leak Massive!
Nicola Costanzo esplora il mondo della tecnologia e dell’innovazione. I suoi articoli illuminano le sfide digitali che plasmano il nostro futuro.