Una nueva campaña de intrusión ha puesto varios modelos de Enrutadores asus. Según GraynoiseEspecializado en ciberseguridad, al menos tres dispositivos diferentes serían explotados por un actor «altamente capacitado y con recursos suficientes».

Las amenazas sofisticadas generalmente están dirigidas a objetivos muy específicos, pero esta campaña tiene un patrón más amplio. Los investigadores ya han detectado alrededor de 9,000 dispositivos comprometidos y se aseguran de que el número continúe aumentando. Se cree que los cimientos podrían estar en una futura botnet, una pieza clave para los ataques DDoS.

Acceso persistente sin malware

Los atacantes obtienen acceso inicial a través de técnicas de fuerza bruta Y el uso de estrategias de evasión que aún no tienen un identificador CVe. En ciberseguridad, un CVE (acrónimo de vulnerabilidades y exposiciones comunes) es una referencia estándar que se utiliza para catalogar las vulnerabilidades conocidas públicamente.

Después de ese primer paso, los cibercriminales aprovechan una vulnerabilidad específica ya documentada, identificada como CVE-2023-39780para ejecutar comandos arbitrarios y modificar la configuración del enrutador desde adentro.

El objetivo no es instalar un virus o software de espía tradicional, sino algo más sutil: abrir una puerta trasera remota. Para hacer esto, habilitan el acceso SSH en un puerto específico (TCP/53282) e insertan su propia clave pública en la memoria NVRAM, un tipo de almacenamiento interno que No se borra reiniciando el enrutador ni al actualizar su firmware. De esta manera, el acceso del atacante persiste en el tiempo, sin dejar signos obvios.

Los investigadores han replicado el ataque a varios modelos específicos, incluido el ASUS RT-AC3100, RT-AC3200 y RT-AX55. No es una lista oficial de dispositivos comprometidos, sino una pista a la que podrían estar en el centro de atención. Por el momento, no se descarta que hay otros modelos también expuestos.

Greynoise no ha atribuido oficialmente la campaña a ningún grupo específico. Sin embargo, señala que las técnicas utilizadas (el uso de funciones legítimas del sistema, la desactivación de los registros de actividad y la ausencia de malware visible) son características habituales de Ataques muy elaborados y planeado a largo plazo.

Estos tipos de operaciones generalmente están vinculados a las llamadas. APTOacrónimo en inglés de una amenaza persistente avanzada. Estos son grupos de acción cibernética que actúan con medios técnicos avanzados, gran discreción y objetivos muy definidos, a menudo relacionados con intereses estratégicos o gubernamentales.

El hallazgo ocurrió en el pasado 18 de marzogracias a TAMIZAR AUna herramienta de análisis desarrollada por Greynoise. La publicación de los detalles Se retrasó intencionalmente para facilitar la coordinación con agencias públicas y empresas en el sector antes de hacerlo público.

Cómo saber si su enrutador ha sido cometido

ASUS ha corregido la vulnerabilidad CVE-2023-39780 En una actualización reciente de firmware. Sin embargo, si el dispositivo se vio comprometido antes de aplicar ese parche, el acceso remoto puede permanecer activo.

Greynoise ofrece una serie de pasos que pueden ayudar a detectar si un enrutador ha sido afectado, aunque es cierto que algunos de ellos Pueden ser complejos para aquellos que no están familiarizados con los conceptos técnicos o no manejan con facilidad en la configuración avanzada del dispositivo. Aun así, es conveniente conocerlos:

• Acceda a la configuración de su enrutador y verifique si el acceso por SSH está habilitado en el puerto TCP/53282.
• Verifique el archivo llamado Autorizado_keysya que podría contener una clave pública no autorizada.
• Bloquee estas direcciones IP, asociadas con la campaña: 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237.
• Si sospecha que su dispositivo se ve afectado, realice una restauración completa de fábrica y configúrelo manualmente.

La escala del ataque y su capacidad para mantener oculta reforzar una lección clave: la seguridad de los enrutadores domésticos no debe darse por sentado. Aunque en este caso no se ha instalado malware, los atacantes Han dejado una puerta abierta.

Nos hemos puesto en contacto con ASUS para solicitar comentarios sobre esta campaña y saber si planean ofrecer nuevas medidas o recomendaciones adicionales. Este artículo se actualizará si recibimos una respuesta oficial para su parte.

Imágenes | Freepik | Asus

En | Alcasec no es un hacker juvenil: estableció una infraestructura criminal española que incluso tenía servicio de servicio al cliente

(Function () {window._js_modules = window._js_modules || {}; var headelement = document.getelegsbytagname (‘head’)[0]; if (_js_modules.instagram) {var instagramscript = document.creatElement (‘script’); instagramscript.src = «instagramscript.async = true; instagramscript.defer = true; headelement.appendChild (Instagramscript);}}) ();

–
La noticia Miles de enrutadores ASUS se han comprometido con una campaña de intrusión: reiniciarlos no elimina la amenaza Fue publicado originalmente en Por Javier Márquez.