11

Asus sotto attacco, migliaia di router sono stati compromessi: ipotesi hacker di stato

Migliaia di router Asus sono stati compromessi da un attacco particolarmente invasivo. Gli hacker avrebbero installato una backdoor invisibile e permanente. Ecco tutti i dettagli.

NOTIZIA di Stefania Netti   —   29/05/2025
Attacco informatico su router Asus

Quasi 10.000 router Asus sono stati compromessi da un massiccio attacco informatico mirato. A scoprirlo è stata GreyNoise, azienda di sicurezza informatica, insieme a Sekoia.io. Pare si tratti di veri e propri attacchi di tipo brute force su larga scala etichettati come attività cyberwarfare condotte da attori statali. L'obiettivo? Creare una rete di router controllabili da remoto e trasformarli in honeypot, quindi delle vere e proprie esche appetibili per altri hacker. Facciamo il punto della situazione.

Gli hacker utilizzano una backdroor sofisticata e permanente

Si tratta di un attacco decisamente preoccupante, trattandosi di una backdoor letteralmente invisibile e permanente. In particolare, gli hacker utilizzerebbero tecniche non CVE, volte ad evitare il processo di autenticazione del router in questione. Attraverso questo tipo di vulnerabilità, verrebbe installata una chiave SSH, salvando poi la configurazione nella NVRAM. Ciò significa che questo tipo di configurazione è appunto permanente.

Migliaia di router Asus sono stati compromessi
Migliaia di router Asus sono stati compromessi

I dispositivi coinvolti sono molteplici e sono inclusi anche i vari Linksys, QNAP, Araknis Networks e D-Link. Pare che questi attacchi siano rivolti principalmente all'area asiatica e lo scopo sarebbe quello di trasformare i dispositivi in veri e propri honeypot per altri hacker.

Come capire se il router è stato compromesso

Per capire se il vostro router sia effettivamente stato compromesso dall'attacco informatico, dovreste aprire il pannello di controllo. Se è presente un accesso SSH con una chiave che inizia per "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ..." allora è molto probabile che si tratti dell'accesso installato proprio dagli hacker. In questo caso dovreste eliminarlo manualmente: assicuratevi di farlo, perché solo in questo modo potrete davvero chiudere la vulnerabilità.

Telegram rimuove due mercati neri da 35 miliardi di dollari: vendite di dati rubati e riciclaggio crypto nel mirino Telegram rimuove due mercati neri da 35 miliardi di dollari: vendite di dati rubati e riciclaggio crypto nel mirino

Oltretutto, questo tipo di minaccia è davvero difficile da rilevare, dato che non vengono installati malware visibili o particolari tracce. Inoltre, Asus suggerisce di aggiornare il firmware del router all'ultima versione disponibile, mentre GreyNoise invita a bloccare sul firewall i seguenti IP, potenzialmente malevoli:

  • 101.99.91.151
  • 101.99.94.173
  • 79.141.163.179
  • 111.90.146.237