Backdoory są zazwyczaj zaprojektowane tak, aby ominąć tradycyjne metody uwierzytelniania i zapewnić atakującemu nieautoryzowany zdalny dostęp do podatnych urządzeń sieciowych lub urządzeń końcowych. Dlatego najbardziej skutecznych nie znamy – ponieważ pozostają niewidoczne zarówno dla użytkowników końcowych, jak i administratorów systemów. Czyni je to szczególnie atrakcyjnymi dla cybernetycznego szpiegostwa.
Routery Asus zagrożone
Backodoora, nazwanego “ViciousTrap”, wykryto już w marcu, co skłoniło badaczy do zbadania nowego zagrożenia i powiadomienia władz rządowych. Odkryto przy tym, że tysiące urządzeń sieciowych Asus zostało już “zdobytych” przez szkodnika. Atakujący najpierw uzyskują dostęp, wykorzystując luki w zabezpieczeniach i omijając uwierzytelnianie poprzez próby logowania metodą brute-force. Następnie wykorzystują inną lukę (CVE-2023-39780), aby wykonywać polecenia na routerze, nadużywając legalnej funkcji Asus, aby umożliwić dostęp SSH na określonym porcie TCP/IP i wstrzyknąć publiczny klucz szyfrowania.
W wykryciu “ViciousTrap” pomogła sztuczna inteligencja, a konkretnie zastrzeżony system GreyNoise o nazwie “Sift”, który wykryła nieprawidłowy ruch sieciowy. Osoba – lub osoby – stojące za kampanią mogą użyć swojego klucza prywatnego, aby uzyskać zdalny dostęp do zainfekowanych routerów. Backdoor jest przechowywany w pamięci NVRAM urządzenia i może pozostać tam nawet po ponownym uruchomieniu lub aktualizacji oprogramowania układowego.
Czytaj też: Test ASUS ROG Zephyrus G16 (2025) GU605. Czy kompaktowa forma z GeForce RTX 5080 ma sens?
Kampania ViciousTrap powoli się rozwija, ale atakujący nie ujawnili jeszcze swoich intencji. Poinformowany o backdoorze Asus już załatał wykorzystane luki w ostatnich aktualizacjach oprogramowania układowego. Jednak wszelkie backdoory, które już zostały wprowadzone, pozostaną funkcjonalne – chyba że administrator ręcznie przejrzy i wyłączy dostęp SSH.
Aby rozwiązać problem, administratorzy powinni usunąć klucz publiczny używany do nieautoryzowanego dostępu SSH i zresetować wszelkie niestandardowe konfiguracje portów TCP/IP. Po wykonaniu tych kroków dotknięte routery Asus powinny powrócić do swojego pierwotnego, nienaruszonego stanu. GreyNoise zaleca również administratorom sieci monitorowanie ruchu w poszukiwaniu połączeń z następujących podejrzanych adresów IP:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Badacze z GreyNoise ostrzegają właścicieli routerów, aby zawsze instalowali najnowsze aktualizacje oprogramowania układowego. A jeśli podejrzewa się zagrożenie, należy wykonać pełny reset fabryczny i ręcznie ponownie skonfigurować router.