Tūkstančiuose „Asus“ maršrutizatorių aptiktas nematomas ir atsparus „galinis įėjimas”

Keliems tūkstančiams „Asus“ maršrutizatorių, skirtų namams ir mažiems biurams, gresia užkrėtimas paslėptu „galiniu įėjimu”, kuris išlieka net po perkrovimų ir programinės įrangos atnaujinimų. Tokios atakos įmanomos tik kibernetiniams nusikaltėliams, turintiems didelius išteklius, įskaitant galimą valstybinę paramą. Problemą aptiko kibernetinio saugumo bendrovės „GreyNoise“ ekspertai.

Nežinomi piktadariai prieiga prie įrenginių gauna pasinaudodami pažeidžiamumais, kai kurie iš jų niekada nebuvo įtraukti į CVE sistemą. Gavę nesankcionuotą administracinę prieigą prie įrenginio, kibernetiniai nusikaltėliai įdiegia viešąjį šifravimo raktą, skirtą prisijungti prie įrenginio – po to bet kuris asmuo, turintis privatųjį raktą, gali automatiškai prisijungti prie įrenginio su administratoriaus teisėmis. Backdoor’as išlieka sistemoje net po perkrovimo ar programinės įrangos atnaujinimo, suteikdamas nusikaltėliui ilgalaikę kontrolę be būtinybės įkelti kenkėjišką programinę įrangą ar palikti pėdsakų, apeinant autentifikaciją, išnaudojant žinomas pažeidžiamumus ar piktnaudžiaujant teisėtomis konfigūracijos funkcijomis.

„GreyNoise“ ekspertai visame pasaulyje aptiko apie 9000 įrenginių su įdiegtu kenksmingu kodu, ir šis skaičius toliau auga. Kol kas nepavyko nustatyti požymių, kad šie įrenginiai būtų naudojami kokiuose nors kampanijose. Tikėtina, kad šiuo metu nusikaltėliai kaupia išteklius, ketindami juos panaudoti ateityje. „GreyNoise“ sisteminius veiksmus pastebėjo kovo viduryje ir apie incidentą viešai nepranešė, kol neinformavo valdžios institucijų. Tai gali reikšti, kad už hakerių grupuotės stovi tam tikri valstybiniai ištekliai.

Paveikslėlių šaltinis: asus.com
„GreyNoise“ aptikti veiksmai, kaip manoma, yra dalis kampanijos, išaiškintos „Sekoia“ ekspertų – naudodami „Censys“ skenavimo įrankius jie nustatė, kad nežinomi asmenys pažeidė apie 9500 „Asus“ maršrutizatorius. Įsilaužimui naudojami keli pažeidžiamumai. Vienas iš jų – CVE-2013-39780 – leidžia vykdyti sistemines komandas, ir „Asus“ šį pažeidžiamumą ištaisė neseniai išleistame programinės įrangos atnaujinime. Taip pat buvo ištaisyti kiti pažeidžiamumai, tačiau dėl tam tikrų priežasčių jie nebuvo įtraukti į CVE duomenų bazę.

Vienintelis būdas patikrinti, ar įrenginys užkrėstas, – peržiūrėti SSH nustatymus konfigūracijos skydelyje. Užkrėsti įrenginiai leidžia prisijungti per SSH per 53282 prievadą su skaitmeniniu sertifikatu, kurio sutrumpintas raktas atrodo taip: „ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ“. Apie įsilaužimą gali signalizuoti šių adresų buvimas prisijungimo žurnale: 101.99.91.151, 101.99.94.173, 79.141.163.179 arba 111.90.146.237. Visų gamintojų maršrutizatorių savininkams rekomenduojama laiku atnaujinti programinę įrangą.