Quasi 10.000 router Asus sono stati compromessi da un massiccio attacco informatico mirato. A scoprirlo è stata GreyNoise, azienda di sicurezza informatica, insieme a Sekoia.io. Pare si tratti di veri e propri attacchi di tipo brute force su larga scala etichettati come attività cyberwarfare condotte da attori statali. L'obiettivo? Creare una rete di router controllabili da remoto e trasformarli in honeypot, quindi delle vere e proprie esche appetibili per altri hacker. Facciamo il punto della situazione.
Gli hacker utilizzano una backdroor sofisticata e permanente
Si tratta di un attacco decisamente preoccupante, trattandosi di una backdoor letteralmente invisibile e permanente. In particolare, gli hacker utilizzerebbero tecniche non CVE, volte ad evitare il processo di autenticazione del router in questione. Attraverso questo tipo di vulnerabilità, verrebbe installata una chiave SSH, salvando poi la configurazione nella NVRAM. Ciò significa che questo tipo di configurazione è appunto permanente.
I dispositivi coinvolti sono molteplici e sono inclusi anche i vari Linksys, QNAP, Araknis Networks e D-Link. Pare che questi attacchi siano rivolti principalmente all'area asiatica e lo scopo sarebbe quello di trasformare i dispositivi in veri e propri honeypot per altri hacker.
Come capire se il router è stato compromesso
Per capire se il vostro router sia effettivamente stato compromesso dall'attacco informatico, dovreste aprire il pannello di controllo. Se è presente un accesso SSH con una chiave che inizia per "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ..." allora è molto probabile che si tratti dell'accesso installato proprio dagli hacker. In questo caso dovreste eliminarlo manualmente: assicuratevi di farlo, perché solo in questo modo potrete davvero chiudere la vulnerabilità.
Oltretutto, questo tipo di minaccia è davvero difficile da rilevare, dato che non vengono installati malware visibili o particolari tracce. Inoltre, Asus suggerisce di aggiornare il firmware del router all'ultima versione disponibile, mentre GreyNoise invita a bloccare sul firewall i seguenti IP, potenzialmente malevoli:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237