Bộ định tuyến ASUS bị tấn công: Vi phạm Botnet lớn đạt hàng ngàn người

Qua 9.000 Asus Các bộ định tuyến không dây đã lặng lẽ được tuyển dụng vào những gì có thể trở thành một hoạt động botnet lớn. Phần đáng sợ? Thiết bị của bạn cho thấy các dấu hiệu thỏa hiệp bằng không trong khi bí mật tuân theo các đơn đặt hàng từ tội phạm mạng ở giữa thế giới.

Sự tiếp quản im lặng thay đổi mọi thứ

Công ty bảo mật Greynoise đã phát hiện ra vụ cướp kỹ thuật số này vào tháng 3 khi AI của họ phát hiện các yêu cầu HTTP đáng ngờ đạt điểm cuối của bộ định tuyến. Những kẻ tấn công bị khai thác CVE-2023-39780Lệnh gây tổn thương chỉ huy có vẻ nhàm chán nhưng mang lại kết quả tàn phá.

Đây là nơi nó trở nên thông minh: những tin tặc này không đột nhập và rời đi. Họ di chuyển vĩnh viễn.

Những kẻ tấn công đã bật quyền truy cập SSH Cổng 53282trồng các khóa mã hóa của họ cho các chuyến thăm trong tương lai và được lưu trữ ở phía sau trong bộ nhớ NVRAM. Đó là loại bộ nhớ cười vào các bản cập nhật firmware của bạn và đặt lại nhà máy. Họ cũng vô hiệu hóa ghi nhật ký, bởi vì tại sao lại để lại bằng chứng khi bạn chạy một hoạt động chuyên nghiệp?

Vấn đề bạn cùng phòng mới của mạng của bạn

Hãy nghĩ rằng bộ định tuyến của bạn khởi động lại đã xóa mọi thứ? Nghĩ lại. Những hậu trường này sống sót sau khi khởi động lại, cập nhật chương trình cơ sở và các phiên đi xe đạp điện thất vọng của bạn. Những kẻ tấn công duy trì quyền kiểm soát thông qua các kỹ thuật lén lút đến mức chỉ 30 yêu cầu liên quan xuất hiện trong giám sát giao thông toàn cầu trong ba tháng.

Hầu hết người dùng bị xâm phạm không biết mạng gia đình của họ hiện là một phần của cơ sở hạ tầng của người khác. Netflix của bạn vẫn phát trực tuyến, các cuộc gọi video của bạn vẫn kết nối, nhưng bộ định tuyến của bạn đang lặng lẽ nhận đơn đặt hàng từ các máy chủ ở nơi biết ai.

Công ty an ninh mạng Sekoia đã liên kết chiến dịch này với diễn viên đe dọa của Nocytrap, một người nổi tiếng với việc khai thác các thiết bị kết nối Internet. Mặc dù không có phần mềm độc hại nào bị loại bỏ và không có yêu cầu tiền chuộc, nhưng cảm giác này giống như công việc chuẩn bị cho một cái gì đó lớn hơn. Mô hình này không phải là duy nhất đối với ASUS; Các lỗ hổng tương tự như truyền hình thông minh, camera bảo mật và thiết bị phát sóng, cũng như các thiết bị IoT khác chia sẻ mật khẩu WiFi của bạn nhưng không phải là ưu tiên bảo mật của bạn.

Lấy lại quyền kiểm soát từ các squatter kỹ thuật số

Nếu bạn sở hữu một bộ định tuyến ASUS tiếp xúc với Internet, đây là kế hoạch hành động ngay lập tức của bạn. Đăng nhập vào bảng quản trị của bộ định tuyến của bạn và kiểm tra xem SSH Access có được bật không, đặc biệt là trên cổng 53282. Tìm các khóa công khai SSH mà bạn không thêm thẻ gọi kỹ thuật số mà khách không mời.

Vô hiệu hóa bất kỳ truy cập SSH trái phép ngay lập tức. Cập nhật chương trình cơ sở của bạn kể từ ASUS Bản vá CVE-2023-39780sau đó thực hiện một thiết lập lại nhà máy hoàn chỉnh. Có, bạn sẽ cần phải cấu hình lại mọi thứ theo cách thủ công, nhưng đó là giá của việc trục xuất các squatter kỹ thuật số.

Chặn các địa chỉ IP tấn công này: 101.99.91.151, 101.99.94.173, 79.141.163.179 và 111.90.146.237. Hãy xem xét nó kiểm soát dịch hại kỹ thuật số.

Bài học lớn hơn ở đây? Bộ định tuyến nhà của bạn không chỉ là một hộp làm cho WiFi xảy ra, đây là một cửa ngõ tiềm năng cho các tội phạm mạng tinh vi. Mặc dù bạn lo lắng về cài đặt quyền riêng tư của điện thoại, bộ định tuyến của bạn có thể đã hoạt động cho nhóm khác. Và nó không chỉ là bộ định tuyến, các ứng dụng như ứng dụng T-Mobile của T-Mobile bí mật ghi lại màn hình của bạn, cho thấy sự giám sát sâu sắc có thể ẩn náu trong công nghệ hàng ngày như thế nào. Thời gian để kiểm toán mọi thiết bị kết nối Internet trong nhà của bạn, bởi vì nếu tin tặc có thể biến bộ định tuyến thành zombie, chuông cửa thông minh của bạn có thể là người tiếp theo.