ათასობით Asus-ის როუტერს ფარული და მდგრადი „ბექდორებით“ აინფიცირებენ

„ბექდორი“, რომელიც სრულ ადმინისტრაციულ კონტროლს იძლევა, გადატვირთვასა და firmware-ის განახლებასაც კი უძლებს. 

Asus-ის მიერ წარმოებული ათასობით სახლისა და მცირე ოფისის როუტერი ფარული „ბექდორით“ ინფიცირდება, რომელსაც გადატვირთვისა და firmware-ის განახლების შემდეგაც შეუძლია მუშაობის გაგრძელება. მკვლევრების თქმით, შეტევის უკან, სავარაუდოდ, რომელიმე სახელმწიფო ან სხვა კარგად დაფინანსებული აქტორი დგას. 

უცნობი თავდამსხმელები მოწყობილობებზე წვდომას ახლა უკვე გამოსწორებული მოწყვლადობების გამოყენებით იღებენ, რომელთაგან ზოგიერთს საერთაშორისო CVE სისტემაში საიდენტიფიკაციო ნომერიც კი არ მინიჭებია. მოწყობილობებზე არაავტორიზებული ადმინისტრაციული კონტროლის მოპოვების შემდეგ, თავდამსხმელი SSH-ით წვდომისთვის საჯარო დაშიფვრის გასაღებს აყენებს. ამის შემდეგ, ნებისმიერს, ვინც პირად გასაღებს ფლობს, შეუძლია მოწყობილობაში ავტომატურად, ადმინისტრატორის უფლებებით შევიდეს. 

ხანგრძლივი კონტროლი 

„შემტევის წვდომა უძლებს როგორც გადატვირთვას, ისე firmware-ის განახლებას, რაც მათ დაზარალებულ მოწყობილობებზე ხანგრძლივ კონტროლს ანიჭებს“, — განაცხადეს ოთხშაბათს უსაფრთხოების ფირმა GreyNoise-ის მკვლევრებმა. „თავდამსხმელი ინარჩუნებს გრძელვადიან წვდომას მავნე პროგრამის დაყენების ან აშკარა კვალის დატოვების გარეშე, ავთენტიფიკაციის გვერდის ავლის, ცნობილი მოწყვლადობის ექსპლუატაციისა და ლეგიტიმური კონფიგურაციის ფუნქციების ბოროტად გამოყენების გზით“. 

GreyNoise-ის ცნობით, მათ თვალყური ადევნეს მსოფლიოს მასშტაბით დაახლოებით 9,000 მოწყობილობას, რომლებიც ამ კამპანიის ფარგლებში დაინფიცირდა და ეს რიცხვი კვლავ იზრდება. კომპანიის მკვლევრების თქმით, მათ არ აქვთ მითითება, რომ თავდამსხმელმა დაინფიცირებული მოწყობილობები რაიმე აქტივობისთვის გამოიყენა. უფრო მეტად, ეს ჰაკერული თავდასხმები, როგორც ჩანს, სამომავლო გამოყენებისთვის დიდი რაოდენობით კომპრომეტირებული მოწყობილობების შეგროვების საწყისი ეტაპია. 

GreyNoise-ში აცხადებენ, რომ კამპანია მარტის შუა რიცხვებში აღმოაჩინეს და მის შესახებ ინფორმაციის გავრცელებისგან თავს იკავებდნენ, სანამ ამის შესახებ უსახელო სამთავრობო უწყებებს არ აცნობეს. ეს დეტალი კიდევ უფრო ამყარებს ვარაუდს, რომ თავდამსხმელი შესაძლოა რომელიმე სახელმწიფოსთან იყოს დაკავშირებული. 

კომპანიის მკვლევრებმა ასევე აღნიშნეს, რომ მათ მიერ დაფიქსირებული აქტივობა უფრო დიდი კამპანიის ნაწილი იყო, რომლის შესახებაც გასულ კვირას უსაფრთხოების კომპანია Sekoia-მ განაცხადა. Sekoia-ს მკვლევრების თქმით, ქსელის დაზვერვის ფირმა Censys-ის მიერ ჩატარებულმა ინტერნეტ სკანირებამ აჩვენა, რომ, სავარაუდოდ, 9,500-მდე Asus-ის როუტერია კომპრომეტირებული ViciousTrap-ის მიერ — ეს სახელი უცნობი თავდამსხმელის კამპანიის აღსანიშნავად გამოიყენება. 

თავდამსხმელები მოწყობილობებს მრავალი მოწყვლადობის გამოყენებით აინფიცირებენ. ერთ-ერთი მათგანია CVE-2023-39780, ბრძანების შეყვანის ხარვეზი, რომელიც სისტემური ბრძანებების შესრულების საშუალებას იძლევა და რომელიც Asus-მა firmware-ის ბოლო განახლებაში გამოასწორა. 

როუტერის მომხმარებლებისთვის იმის დასადგენად, არის თუ არა მათი მოწყობილობა დაინფიცირებული, ერთადერთი გზა კონფიგურაციის პანელში SSH-ის პარამეტრების შემოწმებაა. დაინფიცირებულ როუტერებზე გამოჩნდება, რომ მოწყობილობაში შესვლა შესაძლებელია SSH-ით 53282 პორტის გამოყენებით, ციფრული სერტიფიკატით, რომლის შემოკლებული გასაღებია: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ... 

ბექდორის მოსაშორებლად, დაინფიცირებულმა მომხმარებლებმა უნდა წაშალონ როგორც ეს გასაღები, ისე პორტის პარამეტრი. მომხმარებლებს ასევე შეუძლიათ შეამოწმონ, გახდნენ თუ არა სამიზნე, თუ სისტემის ლოგებში დაფიქსირებულია წვდომა შემდეგი IP მისამართებიდან: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 ან 111.90.146[.]237. ნებისმიერი ბრენდის როუტერის მომხმარებლებმა ყოველთვის უნდა უზრუნველყონ, რომ მათმა მოწყობილობებმა უსაფრთხოების განახლებები დროულად მიიღონ. 

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.