Хиляди рутери на Asus за дома и малкия офис са изложени на риск да бъдат заразени поради наличието на скрита задна вратичка, която може да оцелее дори след рестартиране и актуализации на фърмуера. Атаки на това ниво могат да бъдат извършени от киберпрестъпници със значителни ресурси, включително от такива с правителствена подкрепа. Проблемът е открит от експерти на GreyNoise, компания, специализирана в областта на киберсигурността.

Нападателите са получили достъп до устройства чрез използване на уязвимости, някои от които никога не са били въвеждани в системата CVE. След като получи неоторизиран административен достъп до хардуера, киберпрестъпникът инсталира публично достъпен ключ за криптиране, за да влезе в устройството – след това всеки, който притежава частния ключ може автоматично да влезе в устройството с администраторски права. Задната вратичка остава в системата след рестартиране и актуализации на фърмуера, което дава на нападателя дългосрочен контрол върху компрометирания хардуер – не е необходимо да изтегля зловреден софтуер и да оставя следи по веригата, за да заобиколи удостоверяването, да използва известни уязвимости и да злоупотребява с легитимни функции за конфигуриране.

Експертите на GreyNoise са открили около 9000 устройства по света с тази задна вратичка, като броят им продължава да расте. Досега няма данни тези устройства да са били използвани в някакви кампании.

Вероятно сега нападателите трупат ресурси за бъдеща употреба. GreyNoise е открила системната дейност в средата на март и не е направила инцидента публичен, докато не е уведомила властите. Това може да означава, че зад хакерската група стои правителствен ресурс.

Смята се, че дейностите, открити от GreyNoise са част от кампания, идентифицирана от експертите на Sekoia – с помощта на сканиране на Censys те са установили, че около 9500 рутера Asus са били компрометирани от неизвестни лица. За инсталирането на задната врата са използвани няколко уязвимости. Една от тях, CVE-2013-39780 позволява изпълнението на системни команди и Asus я отстрани в неотдавнашна актуализация на фърмуера. Други уязвимости също бяха отстранени, но по някаква причина не бяха включени в базата данни CVE.

Единственият начин да разберете дали устройството ви е заразено, е да проверите SSH настройките в конфигурационния панел.

Заразените екземпляри позволяват SSH връзки през порт 53282 с цифров сертификат, чийто съкратен ключ изглежда като „ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ“. За хакването свидетелства наличието на следните адреси в дневника за вход: 101.99.91.151, 101.99.94.173, 79.141.163.179 или 111.90.146.237. На собствениците на рутери от всички производители се препоръчва своевременно да актуализират софтуера си.