Una campagna di attacco mirata ha compromesso migliaia di router Asus, sfruttando una vulnerabilità avanzata che permette l’accesso remoto non autorizzato ai dispositivi. La scoperta è stata fatta dai ricercatori di GreyNoise, i quali sospettano che dietro l’operazione ci siano attori legati a un governo straniero, viste le modalità e il livello di sofisticazione.
L’elemento più preoccupante riguarda la capacità della backdoor di sopravvivere anche dopo il riavvio del router o un aggiornamento del firmware. I criminali informatici riescono a ottenere il pieno controllo del dispositivo installando una chiave pubblica SSH, che consente accessi remoti continui da parte di chi possiede la relativa chiave privata.
Come funziona la backdoor e come riconoscerla
Il sistema sfrutta falle già note, ma in alcuni casi mai classificate ufficialmente con un codice CVE. Una volta ottenuto l’accesso amministrativo, la backdoor si insinua senza lasciare tracce visibili o file sospetti, rendendo estremamente difficile accorgersi dell’infezione.
L’attività malevola è stata rilevata tramite Sift, un sistema di analisi AI proprietario sviluppato proprio per identificare attacchi nascosti in tempo reale. Secondo GreyNoise, lo scopo principale non sarebbe quello di rubare dati in modo diretto, ma piuttosto di creare una rete dormiente di router compromessi, da attivare in un secondo momento.
Per chi volesse verificare il proprio router, un segnale inequivocabile della compromissione è la presenza di un accesso SSH attivo sulla porta 53282, associato a una chiave che inizia con la stringa:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Inoltre, è utile controllare se il dispositivo è stato contattato da uno dei seguenti indirizzi IP:
101.99.91[.]151;
101.99.94[.]173;
79.141.163[.]179;
111.90.146[.]237.
In caso positivo, è necessario accedere al pannello di configurazione del router, rimuovere la chiave SSH e chiudere manualmente la porta usata per l’accesso.
Asus ha già rilasciato una patch, ma in presenza della backdoor, è indispensabile intervenire manualmente. Gli utenti sono invitati ad attivare l’aggiornamento automatico del firmware per evitare ulteriori rischi.
