Các nhà nghiên cứu bảo mật tại GreyNoise đã phát hiện ra một mạng botnet mới đang tìm cách hoạt động ẩn dưới radar, AyySSHus. Virus này đã xâm nhập vào hơn 9.000 bộ định tuyến Asus. Là một phần của "chiến dịch khai thác" đang diễn ra, tin tặc đã có thể "truy cập trái phép và liên tục" vào hàng nghìn thiết bị. Theo báo cáo của GreyNoise, tất cả các thiết bị này đều bị xâm phạm với mục đích tạo ra một "mạng botnet tương lai" hoặc một mạng lưới các bộ định tuyến zombie. Người ta vẫn chưa rõ mục đích của mạng lưới botnet đang phát triển nhanh chóng này là gì. Tuy nhiên, một kịch bản độc hại đã được tải xuống và thực thi trên một trong những thiết bị bị xâm phạm. Tập lệnh này được đưa vào với mục đích chuyển hướng lưu lượng mạng đến các thiết bị mà tin tặc điều khiển từ xa.
Sau đó, chúng có thể cài đặt cửa hậu, cho phép chúng truy cập liên tục vào thiết bị. Ngay cả khi bộ định tuyến được khởi động lại hoặc phần mềm được cập nhật, tin tặc vẫn giữ quyền kiểm soát bộ định tuyến. Điều này là do nó được ẩn trong NVRAM (Bộ nhớ truy cập ngẫu nhiên không mất dữ liệu) của bộ định tuyến, giúp bảo vệ nó khỏi các bản cập nhật phần mềm. Kẻ tấn công "duy trì quyền truy cập lâu dài mà không sử dụng phần mềm độc hại hoặc để lại dấu vết rõ ràng.".
Theo các chuyên gia của GreyNoise, các cuộc tấn công do AyySSHus dàn dựng có liên quan đến những khám phá gần đây của các nhà nghiên cứu tại Sekoia. Các nhà nghiên cứu người Pháp thực tế đã xác định được một chiến dịch lớn nhắm vào bộ định tuyến Asus nói riêng. Được gọi là "ViciousTrap", hoạt động này cũng nhắm vào các bộ định tuyến Asus và khai thác lỗ hổng bảo mật tương tự. Tin tặc cũng nhắm vào các thiết bị khác, chẳng hạn như BMC (Bộ điều khiển quản lý bo mạch chủ) từ D-Link, Linksys, QNAP và Araknis Networks hoặc bộ định tuyến từ Soho.
Sau đó, hãy kiểm tra xem cổng TCP 53282 có mở không. Cổng này có thể được sử dụng cho kết nối SSH, cho phép điều khiển thiết bị từ xa. Nếu bạn chưa bao giờ bật tính năng này, có thể người khác đã làm như vậy mà không có sự đồng ý của bạn. Hãy xem tệp authorized_keys, chứa danh sách các khóa được phép kết nối qua SSH. Nếu một khóa không xác định xuất hiện trong tệp này, điều đó có nghĩa là quyền truy cập từ xa đã được thêm vào mà không có sự đồng ý của bạn.
Nếu bạn nghi ngờ bộ định tuyến của mình đã bị hack, bạn sẽ cần thực hiện khôi phục cài đặt gốc. Việc cài đặt bản vá không đủ để loại bỏ cửa sau. Sau đó cấu hình lại thiết bị theo cách thủ công. Cuối cùng, GreyNoise khuyên bạn nên chặn các địa chỉ IP được liên kết với botnet, cụ thể là 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Nguồn: Greynoise
Truy cập liên tục vào các bộ định tuyến bị xâm phạm
Để đạt được mục tiêu, tội phạm mạng dựa vào các cuộc tấn công bằng vũ lực, bao gồm việc kiểm tra nhiều thông tin đăng nhập cho đến khi tìm thấy thông tin chính xác và một số lỗ hổng cũ. Tin tặc đang khai thác lỗ hổng tiêm lệnhảnh hưởng đến một số mẫu bộ định tuyến Asus, bao gồm RT-AX55. Lỗ hổng này cho phép tội phạm mạng buộc bộ định tuyến thực hiện các lệnh mà nó không được phép chấp nhận.Sau đó, chúng có thể cài đặt cửa hậu, cho phép chúng truy cập liên tục vào thiết bị. Ngay cả khi bộ định tuyến được khởi động lại hoặc phần mềm được cập nhật, tin tặc vẫn giữ quyền kiểm soát bộ định tuyến. Điều này là do nó được ẩn trong NVRAM (Bộ nhớ truy cập ngẫu nhiên không mất dữ liệu) của bộ định tuyến, giúp bảo vệ nó khỏi các bản cập nhật phần mềm. Kẻ tấn công "duy trì quyền truy cập lâu dài mà không sử dụng phần mềm độc hại hoặc để lại dấu vết rõ ràng.".
Theo các chuyên gia của GreyNoise, các cuộc tấn công do AyySSHus dàn dựng có liên quan đến những khám phá gần đây của các nhà nghiên cứu tại Sekoia. Các nhà nghiên cứu người Pháp thực tế đã xác định được một chiến dịch lớn nhắm vào bộ định tuyến Asus nói riêng. Được gọi là "ViciousTrap", hoạt động này cũng nhắm vào các bộ định tuyến Asus và khai thác lỗ hổng bảo mật tương tự. Tin tặc cũng nhắm vào các thiết bị khác, chẳng hạn như BMC (Bộ điều khiển quản lý bo mạch chủ) từ D-Link, Linksys, QNAP và Araknis Networks hoặc bộ định tuyến từ Soho.
Phải làm gì nếu bị tấn công?
Tin tốt là Asus đã vá lỗ hổng bị tin tặc khai thác. Nhà sản xuất đã triển khai bản sửa lỗi cho tất cả các mẫu ASUS RT-AX55 bị ảnh hưởng. Tất cả người dùng được khuyến cáo nên cập nhật bộ định tuyến càng sớm càng tốt.Sau đó, hãy kiểm tra xem cổng TCP 53282 có mở không. Cổng này có thể được sử dụng cho kết nối SSH, cho phép điều khiển thiết bị từ xa. Nếu bạn chưa bao giờ bật tính năng này, có thể người khác đã làm như vậy mà không có sự đồng ý của bạn. Hãy xem tệp authorized_keys, chứa danh sách các khóa được phép kết nối qua SSH. Nếu một khóa không xác định xuất hiện trong tệp này, điều đó có nghĩa là quyền truy cập từ xa đã được thêm vào mà không có sự đồng ý của bạn.
Nếu bạn nghi ngờ bộ định tuyến của mình đã bị hack, bạn sẽ cần thực hiện khôi phục cài đặt gốc. Việc cài đặt bản vá không đủ để loại bỏ cửa sau. Sau đó cấu hình lại thiết bị theo cách thủ công. Cuối cùng, GreyNoise khuyên bạn nên chặn các địa chỉ IP được liên kết với botnet, cụ thể là 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Nguồn: Greynoise
