Siber güvenlik şirketi GreyNoise, ASUS’un ev ve küçük ofis kullanıcılarına yönelik yönlendiricilerini hedef alan gelişmiş ve kalıcı bir saldırı tespit ettiğini duyurdu. Bir ulus devletin veya oldukça sofistike bir tehdit grubunun gerçekleştirdiğinden şüphelenilen gizli kampanya, yeniden başlatmalardan ve hatta yazılım güncellemelerinden sağ çıkabilen kalıcı bir arka kapı bırakıyor. Saldırının tipik kullanıcılar tarafından tespit edilmesinin zor olduğu belirtiliyor.
GreyNoise’a göre saldırganlar, çeşitli güvenlik açıklarından yararlanarak ASUS yönlendiricilerinin kontrolünü ele geçiriyor. Bu açıkların bazıları düzeltilmiş olsa da, bazıları CVE sisteminde resmi olarak hiç kaydedilmemiş durumda. Onaylanan açıklardan biri olan CVE-2023-39780, komut enjeksiyonuna olanak tanıyarak tam sistem komutlarını çalıştırmaya izin veriyor. Erişimi sağladıktan sonra tehdit aktörü, eşleşen bir özel anahtar kullanarak tam yönetici ayrıcalıklarıyla gelecekteki oturumlara izin veren genel bir SSH şifreleme anahtarı bırakıyor.
Bu saldırıyı tehlikeli kılan şey erişimin kalıcılığıdır. GreyNoise, saldırganın tipik bir kötü amaçlı yazılım bırakmadığını veya normal saldırı göstergeleri bırakmadığını söylüyor. Bunun yerine, açıkları zincirleyerek, kimlik doğrulamasını atlayarak ve yasal sistem ayarlarını değiştirerek yazılım güncellemelerinden ve sistem yeniden başlatmalarından sağ çıkmayı başarıyorlar. Araştırmacılar, bu yöntemin “yönlendiriciler üzerinde uzun süreli kontrol sağladığını” ve aktörün, muhtemelen kapsamlı koordineli bir saldırıda kullanmak üzere, istismar edilen sistemlerden oluşan botnetini sessizce genişletmesine olanak tanıdığını belirtiyor.
GreyNoise, bu saldırının, siber güvenlik şirketi Sekoia tarafından ilk kez “ViciousTrap” olarak adlandırılan daha büyük bir kampanyanın parçası olduğunu ifade ediyor. Ağ analitiği sağlayıcısı Censys tarafından yapılan web taramaları, potansiyel olarak 9.500’e kadar ASUS yönlendiricisinin zaten istismar edilmiş olabileceğini gösteriyor. Tehdit aktörü henüz ele geçirdiği yönlendirici ağını aktif olarak kullanmamış olsa da, araştırmacılar bunun fırtına öncesi sessizlik olabileceğini ve gelecekte geniş çaplı aksamalara veya casusluk operasyonlarına yol açma potansiyeli taşıdığını öne sürüyor.
ASUS yönlendiricinizin saldırıya uğrayıp uğramadığını anlamanın tek yolu manuel tarama yapmaktır. Yönlendiricinizin ayarlar sayfasına erişin, SSH yapılandırmasına gidin ve 53282 numaralı bağlantı noktasındaki şüpheli girdileri kontrol edin. Özellikle şu anahtar ile başlayan kötü amaçlı SSH anahtarını tarayın: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ. Eğer bir arka kapı tespit edilirse, şüpheli anahtarı silin ve ilgili bağlantı noktası yapılandırmasını hemen kapatın. Ayrıca, saldırıyla ilişkilendirilen şu IP adreslerinden gelen bağlantıları arayın: 101.99.91.151, 101.99.94.173, 79.141.163.179 ve 111.90.146.237.
Riski azaltmak için marka fark etmeksizin yönlendiricinizin yazılımını her zaman güncel tutun. Otomatik güncellemeler mevcutsa etkinleştirin ve kesinlikle gerekli değilse uzaktan erişimi devre dışı bırakın. Varsayılan parolaları değiştirin ve olağandışı etkinliği tespit etmek için bir güvenlik duvarı veya ağ izleme aracını kullanmayı düşünün.
