Új backdoor kampány ASUS routerek ellen

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

2025 márciusában a GreyNoise kutatói egy kifinomult támadási kampányt azonosítottak, amely során ismeretlen támadók több ezer, internetre csatlakoztatott ASUS routerhez szereztek jogosulatlan, tartós hozzáférést. A támadók célja egy rejtett, elosztott hálózat létrehozása volt, amely később botnetként vagy más rosszindulatú célokra felhasználható.

A GreyNoise által alkalmazott Sift nevű mesterséges intelligencia-alapú hálózati forgalomelemző eszköz segítségével a kutatók azonosították a támadók által alkalmazott technikákat. A támadók ismert sebezhetőségeket kihasználva kerülték meg a routerek hitelesítési mechanizmusait, majd a routerek legitim konfigurációs funkcióit használták ki a tartós hozzáférés fenntartására. A hozzáférés túlélte a routerek újraindítását és firmware-frissítéseit is, mivel a támadók nem telepítettek hagyományos rosszindulatú szoftvereket, hanem a rendszerbe épített funkciókat használták ki. A támadók tevékenysége nem hagyott nyilvánvaló nyomokat, ami megnehezítette a felfedezést és az azonosítást.

A kampány elsősorban olyan ASUS routereket érintett, amelyek az internetre vannak csatlakoztatva, elavult firmware-t futtatnak, illetve alapértelmezett vagy gyenge jelszavakat használnak.

A támadók által létrehozott rejtett hálózat potenciálisan felhasználható:

  • Botnetként: Az eszközök összehangolt támadásokra, például elosztott szolgáltatásmegtagadási (DDoS) támadásokra használhatók.
  • Adatlopásra: A routereken keresztül érzékeny adatokhoz férhetnek hozzá.
  • További támadások indítására: A kompromittált eszközök más rendszerek elleni támadások kiindulópontjai lehetnek.

A felhasználók és rendszergazdák számára az alábbi lépések javasoltak a védelem érdekében:

  • Firmware-frissítés: Rendszeresen ellenőrizze és telepítse a router gyártója által kiadott legújabb firmware-frissítéseket!
  • Erős jelszavak használata: Cserélje le az alapértelmezett jelszavakat erős, egyedi jelszavakra!
  • Távoli hozzáférés letiltása: Amennyiben nem szükséges, tiltsa le a router távoli elérését!
  • Hálózati forgalom figyelése: Használjon hálózati forgalomfigyelő eszközöket a gyanús tevékenységek azonosítására!
  • Biztonsági mentések készítése: Rendszeresen készítsen biztonsági mentést a router konfigurációjáról!

A GreyNoise kutatói továbbra is figyelemmel kísérik a kampányt, és együttműködnek a gyártókkal és a hatóságokkal a fenyegetés elhárítása érdekében. További technikai részletek és a kampány részletes elemzése a GreyNoise hivatalos blogján érhető el:

(forrás, forrás)