Роутеры ASUS содержат скрытые бэкдоры, затрагивающие 9000 устройств и сохраняющиеся после обновлений прошивки.

Тысячи маршрутизаторов ASUS были скомпрометированы в результате установки бесфайловых бэкдоров в рамках продолжающейся кампании, направленной на потенциальное создание ботнета, сообщает GreyNoise в среду. Злоумышленники используют уязвимости в системе безопасности и легитимные функции маршрутизаторов для установления постоянного доступа без использования вредоносного программного обеспечения, и эти бэкдоры переживают как перезагрузки, так и обновления прошивки, что делает их удаление затруднительным.

Атаки, которые, как подозревают исследователи, осуществляются высококвалифицированными злоумышленниками, были впервые обнаружены AI-инструментом Sift от GreyNoise в середине марта и раскрыты в четверг после координации с государственными органами и отраслевыми партнерами. Sekoia.io также сообщила о компрометации тысяч маршрутизаторов ASUS в рамках своего расследования более широкой кампании под названием ViciousTrap, в ходе которой также были скомпрометированы периферийные устройства других брендовых для создания сети "медовых ловушек". Sekoia.io установила, что маршрутизаторы ASUS не использовались для создания "медовых ловушек", и что злоумышленники получили доступ по SSH, используя тот же порт, TCP/53282, который был идентифицирован GreyNoise в их отчете. Кампания с использованием бэкдоров затрагивает различные модели маршрутизаторов ASUS, включая RT-AC3200, RT-AC3100, GT-AC2900 и Lyra Mini.

GreyNoise рекомендует пользователям выполнить полный сброс к заводским настройкам и вручную перенастроить любое потенциально скомпрометированное устройство. Для выявления взлома пользователям следует проверить наличие доступа по SSH на TCP-порту 53282 и проверить файл authorized_keys на наличие несанкционированных записей.