Serangan siber berskala besar telah menjejaskan lebih 9,000 router Asus di seluruh dunia, dengan penyelidik keselamatan memberi amaran bahawa kempen ini nampaknya merupakan kerja pelaku ancaman yang sangat canggih. Serangan ini mewakili peningkatan yang membimbangkan dalam jenayah siber berasaskan router, menggunakan teknik canggih untuk mewujudkan pintu belakang berterusan yang dapat bertahan melalui kemas kini perisian tegar dan but semula sistem.
Skala Serangan dan Kesan
- Lebih 9,000 penghala Asus disahkan terjejas
- Bilangan terus meningkat mengikut data pengimbas internet Censys
- Hanya 30 percubaan akses diperhatikan dalam tempoh 3 bulan, menunjukkan kempen yang perlahan dan sengaja
- Serangan ditemui oleh GreyNoise pada 18 Mac 2024
Kaedah Serangan Canggih Menyasarkan Kelemahan Router
Penjenayah siber menggunakan pendekatan pelbagai arah untuk mendapat akses tanpa kebenaran kepada router Asus . Mereka menggabungkan serangan log masuk brute-force tradisional dengan teknik pintasan pengesahan yang canggih, mengeksploitasi kelemahan yang diketahui dan yang tidak didedahkan sebelum ini. Eksploit utama memanfaatkan CVE-2023-39780, kelemahan suntikan arahan yang membolehkan penyerang melaksanakan arahan sistem sewenang-wenangnya setelah mereka memperoleh akses awal kepada peranti.
Apa yang membezakan kempen ini ialah pendekatan metodis penyerang untuk mengekalkan kawalan jangka panjang. Daripada segera memasang perisian hasad yang jelas, mereka memberi tumpuan kepada mewujudkan pintu belakang berterusan menggunakan fungsi SSH terbina dalam router. Pendekatan senyap ini menjadikan pengesanan jauh lebih mencabar bagi pengguna biasa yang mungkin tidak menyedari tingkah laku rangkaian yang luar biasa.
Butiran Teknikal Serangan
- Kelemahan utama yang dieksploitasi: CVE-2023-39780 (kelemahan suntikan arahan)
- Kelemahan tambahan yang tidak didedahkan turut dieksploitasi
- Akses SSH ditubuhkan pada port 53282
- Pintu belakang disimpan dalam memori tidak mudah hilang (NVRAM)
- Pengelogan dilumpuhkan untuk mengelakkan pengesanan
- Kunci awam SSH yang dipotong: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Pintu Belakang Berterusan Bertahan Melalui Langkah Keselamatan Standard
Aspek yang paling membimbangkan dalam serangan ini ialah kegigihan pintu belakang yang dipasang. Penyerang menyimpan mekanisme akses mereka dalam memori tidak mudah hilang router (NVRAM), memastikan bahawa usaha pemulihan standard seperti but semula atau kemas kini perisian tegar tidak akan membuang akses tanpa kebenaran mereka. Mereka juga melumpuhkan fungsi pencatatan untuk menutup jejak mereka, menjadikannya sukar bagi pengguna atau profesional keselamatan untuk mengesan kompromi tersebut.
Firma keselamatan GreyNoise , yang menemui kempen ini pada Mac 2024, memerhati bahawa penyerang mewujudkan akses SSH melalui port 53282 menggunakan kunci awam terpotong yang khusus. Bilangan percubaan akses yang agak rendah yang disaksikan selama tiga bulan menunjukkan operasi berjalan dengan sengaja dan senyap, konsisten dengan objektif strategik jangka panjang dan bukannya keuntungan kewangan segera.
Penglibatan Negara-Bangsa Disyaki
Kecanggihan dan sifat metodis serangan telah menyebabkan penyelidik keselamatan mengesyaki penglibatan oleh pelaku ancaman berterusan canggih (APT), yang berpotensi dikaitkan dengan operasi negara-bangsa. GreyNoise menyifatkan musuh sebagai mempunyai sumber yang baik dan sangat berkebolehan, menyatakan bahawa taktik sejajar dengan yang biasanya digunakan oleh rangkaian kotak geganti operasi (ORB) yang digunakan oleh kumpulan penggodam tajaan kerajaan.
Walaupun tiada atribusi khusus dibuat, kempen sedemikian secara sejarahnya dikaitkan dengan operasi siber dari negara termasuk China , Rusia , Korea Utara , dan Iran . Tumpuan pada membina rangkaian teragih peranti yang terjejas menunjukkan penyerang sedang meletakkan asas untuk operasi berskala besar masa depan dan bukannya mencari pulangan kewangan segera.
Tindakan Segera Diperlukan untuk Pemilik Router
Pemilik router Asus harus segera memeriksa peranti mereka untuk tanda-tanda kompromi dengan memeriksa tetapan SSH dalam panel pentadbiran router mereka. Peranti yang terjejas akan menunjukkan SSH diaktifkan pada port 53282 dengan kunci awam terpotong khusus yang bermula dengan ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Untuk router yang tidak terjejas, kemas kini kepada perisian tegar terkini akan memberikan perlindungan terhadap kelemahan CVE-2023-39780. Walau bagaimanapun, peranti yang sudah terjejas memerlukan pemulihan yang lebih meluas. Pengguna mesti membuang atau melumpuhkan entri SSH hasad secara manual dan menyekat empat alamat IP kawalan-dan-arahan yang dikenal pasti: 101.99.91.151, 101.99.94.173, 79.141.163.179, dan 111.90.146.237.
Langkah Pemulihan untuk Pemilik Router Asus
- Periksa tetapan SSH dalam panel pentadbiran router untuk akses tanpa kebenaran
- Kemas kini perisian tegar dengan segera jika peranti tidak terjejas
- Buang/lumpuhkan entri SSH berniat jahat jika terjejas
- Sekat empat alamat IP berniat jahat yang telah dikenal pasti
- Lakukan tetapan semula kilang dan konfigurasi semula secara manual untuk peranti yang terjejas
- Gunakan kata laluan pentadbiran yang kuat dan unik
- Lumpuhkan pengurusan jauh jika tidak diperlukan
Tetapan Semula Kilang Disyorkan untuk Peranti Terjejas
Untuk router yang telah terjejas, Asus mengesyorkan melakukan tetapan semula kilang lengkap diikuti dengan konfigurasi semula manual untuk memastikan tiada kesan pintu belakang yang tertinggal. Langkah yang lebih drastik ini diperlukan kerana sifat berterusan pintu belakang bermakna ia boleh bertahan melalui kemas kini perisian tegar standard.
Insiden ini berfungsi sebagai peringatan keras tentang kepentingan kritikal keselamatan router dalam melindungi rangkaian rumah dan perniagaan. Kemas kini perisian tegar berkala, kata laluan pentadbiran yang kuat, dan audit keselamatan berkala peranti rangkaian adalah amalan penting untuk mengekalkan keselamatan siber dalam dunia yang semakin bersambung.