A GreyNoise kiberbiztonsági kutatói figyeltek fel a veszélyre még március folyamán, jelentésük szerint egy „rosszindulatú nemzetállami szereplő” jegyei fedezhetők fel a dolog mögött, de ennél konkrétabb dolgot nem árultak el - írja a Bleeping Computer cikke nyomán a hvg.hu.
A szakemberek szerint a támadás során brute-force (nyers erő) technikával kaparintják meg a router bejelentkezési adatait, azaz nagyon rövid idő alatt végigpörgetnek minden lehetséges jelszó-kombinációt. Ezt egyéb módszerekkel is kiegészítik, több sebezhetőséget kihasználva.
Az érintett Asus routerek az RT-AC3100, az RT-AC3200 és az RT-AX55; ezek Magyarországon is kaphatóak, utóbbi például egy rendkívül népszerű modell idehaza is.
A támadók egy korábbi, CVE-2023-39780 kódjel alatt nyilvántartott hibát használnak ki, hogy végső soron állandó hozzáférést szerezzenek egy hátsó bejáraton (backdoor) keresztül. Ez pedig újraindítás és firmware-frissítés után is aktív marad.
A támadás ráadásul lopakodó-jellegű, mivel nem hordoz kártevőt, a rosszindulatú felek leállítják a naplózást, és a különböző védelmi funkcióikat is, hogy elkerüljék az észlelést. A kiberbiztonsági szakemberek 30 rosszindulatú kérést hoztak összefüggésbe a kampánnyal, de
már több mint 9000 eszköz fertőzött, tehát bármikor megtámadható.
Az egyelőre nem ismert, hogy mi a támadók pontos célja. A kutatók szerint jelenleg a fertőzés kiépítése zajlik, legalábbis a jelek szerint, megalapozva egy jövőbeni botnet-tevékenységnek. A CVE-2023-39780 ellen már kiadott egy javítást az Asus, így érdemes a webes felületen/mobilalkalmazáson keresztül telepíteni az elérhető firmware-frissítéseket mihamarabb.
Bármilyen gyanús tevékenység esetén csak az eszköz teljes gyári visszaállítása jelent megoldást.