Migliaia di router ASUS sono stati compromessi in una campagna di intrusione: il riavvio non elimina la minaccia

Oltre 9.000 router ASUS sono stati compromessi in una campagna silenziosa
L’attacco installa una backdoor che persiste anche dopo l’aggiornamento del firmware
GreyNoise offre consigli che possono aiutare a identificare i dispositivi interessati

Una nuova campagna di intrusione ha preso di mira diversi modelli di router ASUS. Secondo GreyNoise, azienda specializzata in sicurezza informatica, almeno tre dispositivi diversi sarebbero stati sfruttati da un attore “altamente qualificato e con risorse sufficienti”. Le minacce sofisticate sono solitamente dirette a obiettivi molto specifici, ma questa campagna presenta un modello più ampio. I ricercatori hanno già rilevato circa 9.000 dispositivi compromessi e assicurano che il numero è in aumento. Si ritiene che potrebbero essere gettate le basi per una futura botnet, elemento chiave per gli attacchi DDoS.

Accesso persistente senza malware

Gli aggressori ottengono l’accesso iniziale tramite tecniche di forza bruta e l’uso di strategie di evasione che non hanno ancora un identificatore CVE. In materia di sicurezza informatica, un CVE (acronimo di Common Vulnerabilities and Exposures) è un riferimento standard utilizzato per catalogare le vulnerabilità note al pubblico.

Dopo questo primo passo, i criminali informatici sfruttano una vulnerabilità specifica già documentata, identificata come CVE-2023-39780, per eseguire comandi arbitrari e modificare la configurazione del router dall’interno.

L’obiettivo non è quello di installare un virus o un software spia tradizionale, ma qualcosa di più sottile: aprire una porta posteriore remota. A tal fine, abilitano l’accesso SSH su una porta specifica (TCP/53282) e inseriscono una propria chiave pubblica nella memoria NVRAM, un tipo di memoria interna che non viene cancellata al riavvio del router o all’aggiornamento del firmware. In questo modo, l’accesso dell’autore dell’attacco persiste nel tempo, senza lasciare segni evidenti.

I ricercatori hanno replicato l’attacco su diversi modelli specifici, tra cui ASUS RT-AC3100, RT-AC3200 e RT-AX55. Non si tratta di un elenco ufficiale di dispositivi compromessi, ma di un indizio su quali potrebbero essere nel mirino. Al momento non si esclude che anche altri modelli siano esposti.

GreyNoise non ha attribuito ufficialmente la campagna a nessun gruppo specifico. Tuttavia, sottolinea che le tecniche utilizzate (l’uso di funzioni legittime del sistema, la disattivazione dei registri di attività e l’assenza di malware visibile) sono caratteristiche tipiche di attacchi molto elaborati e pianificati a lungo termine.

Questo tipo di operazioni sono solitamente collegate alle cosiddette APT, acronimo inglese di Advanced Persistent Threat. Si tratta di gruppi di cyber-attaccanti che agiscono con mezzi tecnici avanzati, grande discrezione e obiettivi ben definiti, spesso legati a interessi strategici o governativi.

La scoperta è avvenuta lo scorso 18 marzo, grazie a Sift, uno strumento di analisi sviluppato da GreyNoise. La pubblicazione dei dettagli è stata intenzionalmente ritardata per facilitare il coordinamento con gli enti pubblici e le aziende del settore prima di renderla pubblica.

Come sapere se il tuo router è stato compromesso

ASUS ha corretto la vulnerabilità CVE-2023-39780 in un recente aggiornamento del firmware. Tuttavia, se il dispositivo è stato compromesso prima dell’applicazione della patch, l’accesso remoto potrebbe essere ancora attivo.

GreyNoise offre una serie di passaggi che possono aiutare a rilevare se un router è stato compromesso, anche se è vero che alcuni di essi possono risultare complessi per chi non ha familiarità con i concetti tecnici o non ha dimestichezza con la configurazione avanzata del dispositivo. Tuttavia, è bene conoscerli:

Accedi alle impostazioni del tuo router e verifica se l’accesso SSH è abilitato sulla porta TCP/53282.
Controlla il file chiamato authorized_keys, poiché potrebbe contenere una chiave pubblica non autorizzata.
Blocca questi indirizzi IP associati alla campagna: 101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237.
Se sospetti che il tuo dispositivo sia stato compromesso, esegui un ripristino completo delle impostazioni di fabbrica e riconfiguralo manualmente.

La portata dell’attacco e la sua capacità di rimanere nascosto rafforzano una lezione fondamentale: la sicurezza dei router domestici non deve essere data per scontata. Anche se in questo caso non è stato installato alcun malware, gli aggressori hanno lasciato una porta aperta.

Accesso persistente senza malware

Come sapere se il tuo router è stato compromesso

L’applicazione che dovresti eliminare immediatamente dal tuo cellulare perché potrebbero spiare le tue conversazioni senza permesso

Veicoli spaziali di altre civiltà che infrangono le leggi della fisica conosciuta: è possibile?

Una meraviglia tecnologica: questo veicolo volante che sorvola l’acqua potrebbe presto collegare i continenti in tempi record e rivoluzionare il trasporto marittimo mondiale

Né gigabyte né megabyte: la velocità Internet più alta mai registrata nella storia si misura in TBPS e consentirebbe di scaricare migliaia di GB in meno di un secondo

Una tecnologia vecchia di 146 anni compete con SSD e HDD per diventare l’opzione più popolare per l’archiviazione dei dati

Né la televisione né il computer: la porta USB più importante si trova nel router WiFi ed è un “vero tesoro”

Addio al condizionatore tradizionale: il materiale che consuma la metà dell’energia e raffredda molto più velocemente

Addio chiavette USB e memorie USB, questa alternativa è più veloce, sicura e pratica