Una nuova minaccia informatica sta colpendo migliaia di router Asus, secondo quanto rivelato da diverse società di sicurezza che hanno monitorato un'operazione di hacking su larga scala. L'attacco, che potrebbe avere legami con attività sponsorizzate da stati nazionali, sfrutta vulnerabilità specifiche per installare backdoor nei dispositivi compromessi, permettendo agli hacker di mantenere accesso persistente alle reti domestiche e aziendali. La campagna, individuata già da marzo ma rivelata solo recentemente, evidenzia ancora una volta quanto sia cruciale mantenere aggiornati i dispositivi di rete, spesso trascurati nelle routine di sicurezza degli utenti.
La società di intelligence GreyNoise ha confermato di aver rilevato l'attività malevola a metà marzo, ma ha deliberatamente ritardato la divulgazione pubblica fino a quando non ha informato alcune agenzie governative non specificate. Questo approccio cauto nella comunicazione ha ulteriormente alimentato i sospetti che dietro questa campagna ci possa essere un attore statale o con forti connessioni governative, vista la sofisticazione dell'attacco e la sua estensione.
Le indagini condotte da Sekoia, un'altra azienda di cybersecurity, in collaborazione con la società di intelligence di rete Censys, hanno portato a una stima allarmante: circa 9.500 router Asus potrebbero essere stati compromessi dall'attore di minaccia, soprannominato "ViciousTrap". Questo dato suggerisce che l'operazione è significativamente più ampia di quanto inizialmente ipotizzato.
Il metodo utilizzato dagli hacker è particolarmente insidioso e sfrutta diverse vulnerabilità dei router Asus. Tra queste, CVE-2023-39780, un difetto di iniezione di comandi che consente l'esecuzione di istruzioni di sistema. Sebbene Asus abbia rilasciato patch per questa e altre vulnerabilità attraverso aggiornamenti firmware recenti, molti utenti non hanno ancora applicato questi aggiornamenti, lasciando i loro dispositivi esposti.
Per gli utenti preoccupati, esiste un modo relativamente semplice per verificare se il proprio router è stato compromesso. È necessario controllare le impostazioni SSH nel pannello di configurazione del dispositivo. I router infetti mostreranno la possibilità di effettuare l'accesso SSH sulla porta 53282 utilizzando un certificato digitale con una chiave troncata identificabile:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Un'altra verifica importante consiste nel controllare i log di sistema per verificare eventuali accessi provenienti da specifici indirizzi IP sospetti:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
La presenza di connessioni da questi indirizzi è un forte indicatore di compromissione del dispositivo.
Gli esperti di sicurezza sottolineano l'importanza di mantenere aggiornati i firmware di tutti i dispositivi di rete, indipendentemente dal produttore. I router rappresentano spesso un punto critico nelle infrastrutture domestiche e aziendali, poiché fungono da gateway per tutte le comunicazioni con l'esterno. Un router compromesso può potenzialmente esporre tutti i dispositivi connessi alla rete.
Curiosamente, alcune delle vulnerabilità sfruttate in questa campagna, pur essendo state corrette da Asus, non hanno ricevuto designazioni CVE ufficiali, rendendo più difficile per gli utenti e gli amministratori di sistema identificare specificamente quali problemi di sicurezza siano stati risolti negli aggiornamenti. Questo evidenzia una criticità nel processo di tracciamento e comunicazione delle vulnerabilità di sicurezza nel settore.
