Routers ASUS afectados por puertas traseras persistentes que comprometen 9,000 dispositivos

GreyNoise informó el miércoles que aproximadamente 9,000 routers ASUS han sido comprometidos con puertas traseras sin malware en una campaña en curso que podría estar destinada a construir una botnet en el futuro. Los actores de la amenaza explotan vulnerabilidades de seguridad y funciones legítimas de los routers para establecer un acceso persistente sin el uso de malware, y estas puertas traseras sobreviven tanto a reinicios como a actualizaciones de firmware, lo que las hace difíciles de eliminar.

Los ataques, que los investigadores sospechan son llevados a cabo por actores de amenazas altamente sofisticados, fueron detectados por primera vez a mediados de marzo por la herramienta Sift impulsada por IA de GreyNoise y se divulgaron el jueves tras la coordinación con funcionarios gubernamentales y socios de la industria. Sekoia.io también reportó el compromiso de miles de routers ASUS en su investigación de una campaña más amplia, llamada ViciousTrap, en la que dispositivos de borde de otras marcas también fueron comprometidos para crear una red de honeypots. Sekoia.io descubrió que los routers ASUS no se utilizaron para crear honeypots, y que los actores de la amenaza obtuvieron acceso SSH utilizando el mismo puerto, TCP/53282, identificado por GreyNoise en su informe.