2025 márciusában a GreyNoise kutatói egy kifinomult támadási kampányt azonosítottak, amely során ismeretlen támadók több ezer, internetre csatlakoztatott ASUS routerhez szereztek jogosulatlan, tartós hozzáférést. A támadók célja egy rejtett, elosztott hálózat létrehozása volt, amely később botnetként vagy más rosszindulatú célokra felhasználható.
A GreyNoise által alkalmazott Sift nevű mesterséges intelligencia-alapú hálózati forgalomelemző eszköz segítségével a kutatók azonosították a támadók által alkalmazott technikákat. A támadók ismert sebezhetőségeket kihasználva kerülték meg a routerek hitelesítési mechanizmusait, majd a routerek legitim konfigurációs funkcióit használták ki a tartós hozzáférés fenntartására. A hozzáférés túlélte a routerek újraindítását és firmware-frissítéseit is, mivel a támadók nem telepítettek hagyományos rosszindulatú szoftvereket, hanem a rendszerbe épített funkciókat használták ki. A támadók tevékenysége nem hagyott nyilvánvaló nyomokat, ami megnehezítette a felfedezést és az azonosítást.
A kampány elsősorban olyan ASUS routereket érintett, amelyek az internetre vannak csatlakoztatva, elavult firmware-t futtatnak, illetve alapértelmezett vagy gyenge jelszavakat használnak.
A támadók által létrehozott rejtett hálózat potenciálisan felhasználható:
- Botnetként: Az eszközök összehangolt támadásokra, például elosztott szolgáltatásmegtagadási (DDoS) támadásokra használhatók.
- Adatlopásra: A routereken keresztül érzékeny adatokhoz férhetnek hozzá.
- További támadások indítására: A kompromittált eszközök más rendszerek elleni támadások kiindulópontjai lehetnek.
A felhasználók és rendszergazdák számára az alábbi lépések javasoltak a védelem érdekében:
- Firmware-frissítés: Rendszeresen ellenőrizze és telepítse a router gyártója által kiadott legújabb firmware-frissítéseket!
- Erős jelszavak használata: Cserélje le az alapértelmezett jelszavakat erős, egyedi jelszavakra!
- Távoli hozzáférés letiltása: Amennyiben nem szükséges, tiltsa le a router távoli elérését!
- Hálózati forgalom figyelése: Használjon hálózati forgalomfigyelő eszközöket a gyanús tevékenységek azonosítására!
- Biztonsági mentések készítése: Rendszeresen készítsen biztonsági mentést a router konfigurációjáról!
A GreyNoise kutatói továbbra is figyelemmel kísérik a kampányt, és együttműködnek a gyártókkal és a hatóságokkal a fenyegetés elhárítása érdekében. További technikai részletek és a kampány részletes elemzése a GreyNoise hivatalos blogján érhető el: