Migliaia di router Asus sono stati violati e “reclutati” nella botnet AyySSHush. L’attacco è stato individuato dalla società GreyNoise nel marzo scorso, ma i dettagli dell’attacco sono stati resi pubblici solo qualche giorno fa. Ora l’azienda con sede a Taiwan conferma l’esistenza del problema. La vicenda, però, è piuttosto complicata. Secondo i ricercatori di sicurezza che hanno analizzato l’attacco, infatti, non è escluso che si tratti dell’azione di un gruppo di “hacker di stato”.
La scoperta della campagna di attacchi
I ricercatori di GreyNoise hanno rilevato gli attacchi ai router Asus grazie a un sistema di analisi basato su intelligenza artificiale che ha individuato una serie di anomalie nel traffico di alcuni router Asus, in particolare verso i modelli RT-AC3100, RT-AC3200 e RT-AX55. Le comunicazioni in questione, apparentemente trascurabili, erano in realtà l’indizio di un attacco di brute forcing, cioè una tecnica che prevede continui tentativi di accesso con credenziali sempre diverse, nel tentativo di “indovinare” quelle giuste.
In seguito, i cyber criminali autori dell’attacco hanno cominciato a usare delle tecniche più evolute per aggirare i sistemi di autenticazione, sfruttando poi una vecchia vulnerabilità (CVE-2023-39780) che consente di eseguire comandi all’interno del sistema operativo del router.
Utilizzando questa tecnica – e altre vulnerabilità che i ricercatori di GreyNoise non descrivono nel dettaglio – i cyber criminali hanno installato una connessione remota SSH sulla porta TCP 53282. In altre parole: hanno creato una backdoor che consente loro di controllare a distanza il router.
Cosa c’è dietro gli attacchi e come reagire
Il sospetto degli esperti di sicurezza è che gli attacchi mirino a creare una nuova botnet, cioè una rete di “dispositivi zombie” sotto il controllo dei cyber criminali che li hanno compromessi.
Di solito, le botnet di questo genere vengono utilizzate per portare attacchi DDoS attraverso il collegamento in massa a siti o server per intasarne la connessione. È ciò che è accaduto in più occasioni in Italia a opera del gruppo filorusso NoName057, che ha preso di mira aziende e istituzioni a più riprese. GreyNoise, per non esclude che l’attacco sia stato portato da un gruppo più sofisticato, che farebbe rientrare la vicenda nella categoria degli attacchi “state sponsored”.
Gli utilizzatori dei router interessati dagli attacchi, si legge in un comunicato ufficiale di Asus, non possono risolvere il problema limitandosi ad aggiornare il firmware dei dispositivi. Per eliminare la backdoor è necessario, invece, eseguire un ripristino alle impostazioni di fabbrica.
