A kampányra a Bleeping Computer cikke szerint a GreyNoise kiberbiztonsági kutatói figyeltek fel még március közepén. A jelentésükben arról írnak, hogy egy „rosszindulatú nemzetállami szereplő” jegyei fedezhetők fel a dolog mögött, de ennél konkrétabb dolgot nem árultak el.

A GreyNoise szakemberei szerint a támadás során brute-force technikával kaparintják meg a router bejelentkezési adatait (ez elképesztő gyorsasággal végigpörget minden lehetséges kombinációt), de ezt a tevékenységet kiegészítik más módszerekkel is, kihasználva több sebezhetőséget.

Az érintett Asus routerek az RT-AC3100, az RT-AC3200 és az RT-AX55; ezek Magyarországon is kaphatóak, utóbbi például egy rendkívül népszerű választás hazánkban is. A támadók egy korábbi, CVE-2023-39780 kódjel alatt nyilvántartott hibát használnak ki, hogy végső soron állandó hozzáférést („hátsó kaput” – backdoor) szerezzenek. Ez még újraindítással, vagy firmware-frissítést követően is aktív marad.

Asus RT-AX55

Asus

A támadás ráadásul lopakodó-jellegű, mivel nem hordoz kártevőt, a rosszindulatú felek leállítják a naplózást, és a különböző védelmi funkcióikat is, hogy elkerüljék az észlelést. A GreyNoise kutatói 30 rosszindulatú kérést hoztak összefüggésbe a kampánnyal, de már több mint 9000 eszköz fertőzött, azaz „áll készen” egy támadásra.

Hogy mi lehet a pontos célja a tevékenységnek, az egyelőre nem ismert. A kutatók szerint jelenleg a fertőzés kiépítése zajlik, legalábbis a jelek szerint, megalapozva egy jövőbeni botnet-tevékenységnek. A CVE-2023-39780 ellen már kiadott egy javítást az Asus, így érdemes a webes felületen/mobilalkalmazáson keresztül telepíteni az elérhető firmware-frissítéseket mihamarabb. Ha bármi gyanús tevékenységet észlel, csak az eszköz teljes gyári visszaállítása jelent megoldást.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.