Para peneliti dari perusahaan cybersecurity Greynoise melaporkan minggu ini bahwa kampanye eksploitasi yang sedang berlangsung menargetkan lebih dari 9.000 router ASUS yang terpapar internet. Penjahat dunia maya memperoleh akses jangka panjang dengan mengeksploitasi kerentanan yang tidak diungkapkan. Para ahli menyarankan agar penyerang berencana membangun jaringan robot (botnet).
Menurut laporan Greynoise, para penyerang melakukan operasi yang tersembunyi dan canggih dengan menggunakan upaya login brute-force dan mengeksploitasi kerentanan CVE-2023-39780-cacat injeksi perintah-untuk melaksanakan perintah sistem pada perangkat yang rentan. Aktor yang tidak dikenal mengaktifkan akses SSH pada port TCP 53282 dan menanamkan backdoor dalam memori non-volatile (NVRAM), memungkinkan mereka untuk mempertahankan akses jarak jauh bahkan setelah perangkat reboot atau peningkatan firmware.
Greynoise memperhatikan aktivitas jaringan yang tidak biasa dan rendah melalui alat analisis bertenaga AI mereka, SIFT, pada bulan Maret dan melaporkannya. Para peneliti mengkonfirmasi bahwa tidak ada malware yang telah dipasang, tetapi operasi itu menyarankan agar para penyerang sedang membangun sistem untuk serangan di masa depan.
“Ini tampaknya menjadi bagian dari operasi siluman untuk merakit jaringan perangkat backdoor terdistribusi – berpotensi meletakkan dasar untuk botnet di masa depan,“Menyatakan laporan.
Asus menambal kerentanan melalui pembaruan firmware terbarunya, tetapi tidak menghapus konfigurasi SSH yang diaktifkan oleh para penyerang. Greynoise merekomendasikan pemilik router Asus memeriksa akses pada TCP/53282, meninjau entri yang tidak sah, memblokir alamat IP yang tercantum pada laporan, dan, jika perangkat telah dikompromikan, melakukan reset pabrik dan secara manual mengkonfigurasi ulang router.
“Pada tanggal 27 Mei, hampir 9.000 router ASUS dikonfirmasi dikompromikan, berdasarkan pemindaian dari Sensys, “tulis Greynoise.” Sensor Greynoise hanya melihat 30 permintaan terkait selama tiga bulan, menunjukkan seberapa tenang kampanye ini beroperasi.“
Lebih dari setahun yang lalu, terungkap bahwa kelompok peretasan Rusia APT28 telah mengeksploitasi kerentanan pada router Cisco selama enam tahun dan berhasil menggunakan malware dan memata -matai pengguna dan organisasi di Eropa dan Amerika Serikat.