Új backdoor kampány ASUS routerek ellen

2025 márciusában a GreyNoise kutatói egy kifinomult támadási kampányt azonosítottak, amely során ismeretlen támadók több ezer, internetre csatlakoztatott ASUS routerhez szereztek jogosulatlan, tartós hozzáférést. A támadók célja egy rejtett, elosztott hálózat létrehozása volt, amely később botnetként vagy más rosszindulatú célokra felhasználható.

A GreyNoise által alkalmazott Sift nevű mesterséges intelligencia-alapú hálózati forgalomelemző eszköz segítségével a kutatók azonosították a támadók által alkalmazott technikákat. A támadók ismert sebezhetőségeket kihasználva kerülték meg a routerek hitelesítési mechanizmusait, majd a routerek legitim konfigurációs funkcióit használták ki a tartós hozzáférés fenntartására. A hozzáférés túlélte a routerek újraindítását és firmware-frissítéseit is, mivel a támadók nem telepítettek hagyományos rosszindulatú szoftvereket, hanem a rendszerbe épített funkciókat használták ki. A támadók tevékenysége nem hagyott nyilvánvaló nyomokat, ami megnehezítette a felfedezést és az azonosítást.

A kampány elsősorban olyan ASUS routereket érintett, amelyek az internetre vannak csatlakoztatva, elavult firmware-t futtatnak, illetve alapértelmezett vagy gyenge jelszavakat használnak.

A támadók által létrehozott rejtett hálózat potenciálisan felhasználható:

  • Botnetként: Az eszközök összehangolt támadásokra, például elosztott szolgáltatásmegtagadási (DDoS) támadásokra használhatók.
  • Adatlopásra: A routereken keresztül érzékeny adatokhoz férhetnek hozzá.
  • További támadások indítására: A kompromittált eszközök más rendszerek elleni támadások kiindulópontjai lehetnek.

A felhasználók és rendszergazdák számára az alábbi lépések javasoltak a védelem érdekében:

  • Firmware-frissítés: Rendszeresen ellenőrizze és telepítse a router gyártója által kiadott legújabb firmware-frissítéseket!
  • Erős jelszavak használata: Cserélje le az alapértelmezett jelszavakat erős, egyedi jelszavakra!
  • Távoli hozzáférés letiltása: Amennyiben nem szükséges, tiltsa le a router távoli elérését!
  • Hálózati forgalom figyelése: Használjon hálózati forgalomfigyelő eszközöket a gyanús tevékenységek azonosítására!
  • Biztonsági mentések készítése: Rendszeresen készítsen biztonsági mentést a router konfigurációjáról!

A GreyNoise kutatói továbbra is figyelemmel kísérik a kampányt, és együttműködnek a gyártókkal és a hatóságokkal a fenyegetés elhárítása érdekében. További technikai részletek és a kampány részletes elemzése a GreyNoise hivatalos blogján érhető el:

(greynoise.io)