هزاران روتر ایسوس با پشتوانه های مخفیانه و مداوم مورد اصابت قرار می گیرند

Greynoise گفت که این کمپین را در اواسط ماه مارس تشخیص داده و گزارش های مربوط به آن را انجام داده است تا اینکه پس از آنکه این شرکت به سازمان های دولتی بی نام اطلاع داد. این جزئیات بیشتر نشان می دهد که بازیگر تهدید ممکن است ارتباطی با یک کشور ملت داشته باشد.

محققان این شرکت در ادامه گفتند که فعالیتی که آنها مشاهده کردند بخشی از یک کمپین بزرگتر است که هفته گذشته توسط شرکت امنیتی Sekoia گزارش شده است. محققان Sekoia گفتند که اسکن اینترنت توسط شرکت اطلاعاتی شبکه Censys پیشنهاد کرده است که 9،500 روتر ایسوس ممکن است توسط شرور به خطر بیفتد ، نامی که برای ردیابی بازیگر تهدید ناشناخته استفاده می شود.

مهاجمان با سوء استفاده از آسیب پذیری های متعدد در حال عقب نشینی دستگاه ها هستند. Greynoise گفت ، یکی CVE-2023-39780 است ، یک نقص با تزریق فرمان که امکان اجرای دستورات سیستم را فراهم می کند ، که ایسوس در یک به روزرسانی اخیر سیستم عامل را به خود اختصاص داده است. آسیب پذیری های باقیمانده نیز مورد استفاده قرار گرفته است ، اما به دلایل ناشناخته ، تعیین ردیابی CVE را دریافت نکرده اند.

تنها راه برای کاربران روتر برای تعیین اینکه آیا دستگاه های آنها آلوده شده است ، بررسی تنظیمات SSH در پانل پیکربندی است. روترهای آلوده نشان می دهند که این دستگاه می تواند با استفاده از یک گواهی دیجیتالی با یک کلید کوتاه از: SSH-RSA AAAAB3NZAC1YC2EAAAAAAAOAOAORAOAORAIOAORAINBOVFFJ4HLVMGV+YPSXMDMDRMDRMLBDDDZ … به سیستم وارد شود.

برای حذف پشتی ، کاربران آلوده باید کلید و تنظیم درگاه را حذف کنند.

افراد همچنین می توانند تعیین کنند که آیا آنها هدف قرار گرفته اند که آیا گزارش های سیستم نشان می دهد که از طریق آدرس های IP 101.99.91 به آنها دسترسی پیدا کرده اند[.]151 ، 101.99.94[.]173 ، 79.141.163[.]179 ، یا 111.90.146[.]237. کاربران هر مارک روتر همیشه باید اطمینان حاصل کنند که دستگاه های آنها به روزرسانی های امنیتی را به موقع دریافت می کنند.