Một cuộc tấn công mạng quy mô lớn đã xâm nhập hơn 9.000 router Asus trên toàn thế giới, với các nhà nghiên cứu bảo mật cảnh báo rằng chiến dịch này có vẻ là công việc của những kẻ tấn công có trình độ cao. Cuộc tấn công này đại diện cho sự leo thang đáng lo ngại trong tội phạm mạng dựa trên router, sử dụng các kỹ thuật tiên tiến để thiết lập cửa hậu bền vững có thể tồn tại qua các bản cập nhật firmware và khởi động lại hệ thống.
Quy mô và tác động của cuộc tấn công
- Hơn 9.000 router Asus được xác nhận đã bị xâm phạm
- Con số này tiếp tục tăng theo dữ liệu từ máy quét internet Censys
- Chỉ quan sát thấy 30 lần thử truy cập trong 3 tháng, cho thấy đây là chiến dịch chậm rãi và có chủ đích
- Cuộc tấn công được phát hiện bởi GreyNoise vào ngày 18 tháng 3 năm 2024
Phương thức tấn công tiên tiến nhắm vào lỗ hổng router
Các tội phạm mạng đã sử dụng phương pháp đa chiều để có được quyền truy cập trái phép vào các router Asus . Họ kết hợp các cuộc tấn công đăng nhập brute-force truyền thống với các kỹ thuật bypass xác thực tinh vi, khai thác cả những lỗ hổng đã biết và chưa được tiết lộ trước đó. Khai thác chính tận dụng CVE-2023-39780 , một lỗ hổng command injection cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý sau khi họ có được quyền truy cập ban đầu vào các thiết bị.
Điều làm cho chiến dịch này khác biệt là cách tiếp cận có phương pháp của kẻ tấn công để duy trì kiểm soát lâu dài. Thay vì ngay lập tức cài đặt malware rõ ràng, họ tập trung vào việc thiết lập cửa hậu bền vững sử dụng chức năng SSH tích hợp của router. Cách tiếp cận lén lút này làm cho việc phát hiện trở nên khó khăn hơn đáng kể đối với người dùng bình thường có thể không nhận thấy hành vi mạng bất thường.
Chi tiết kỹ thuật của cuộc tấn công
- Lỗ hổng chính được khai thác: CVE-2023-39780 (lỗ hổng chèn lệnh)
- Các lỗ hổng khác chưa được tiết lộ cũng bị khai thác
- Truy cập SSH được thiết lập trên cổng 53282
- Backdoor được lưu trữ trong bộ nhớ không bay hơi (NVRAM)
- Tính năng ghi log bị vô hiệu hóa để tránh phát hiện
- Khóa công khai SSH bị cắt ngắn: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Cửa hậu bền vững tồn tại qua các biện pháp bảo mật tiêu chuẩn
Khía cạnh đáng lo ngại nhất của cuộc tấn công này là tính bền vững của các cửa hậu được cài đặt. Kẻ tấn công lưu trữ cơ chế truy cập của họ trong bộ nhớ không bay hơi (NVRAM) của router, đảm bảo rằng các nỗ lực khắc phục tiêu chuẩn như khởi động lại hoặc cập nhật firmware sẽ không loại bỏ quyền truy cập trái phép của họ. Họ cũng vô hiệu hóa các chức năng ghi log để che giấu dấu vết, khiến người dùng hoặc các chuyên gia bảo mật khó phát hiện sự xâm nhập.
Công ty bảo mật GreyNoise , đã phát hiện chiến dịch này vào tháng 3 năm 2024, quan sát thấy rằng kẻ tấn công thiết lập quyền truy cập SSH thông qua cổng 53282 sử dụng một public key cụ thể đã bị cắt ngắn. Số lượng tương đối thấp các lần thử truy cập được chứng kiến trong ba tháng cho thấy hoạt động đang tiến hành một cách thận trọng và lặng lẽ, phù hợp với các mục tiêu chiến lược dài hạn hơn là lợi ích tài chính tức thì.
Nghi ngờ có sự tham gia của quốc gia
Tính tinh vi và bản chất có phương pháp của cuộc tấn công đã khiến các nhà nghiên cứu bảo mật nghi ngờ sự tham gia của các tác nhân mối đe dọa bền vững tiên tiến (APT), có khả năng liên quan đến các hoạt động của quốc gia. GreyNoise mô tả kẻ thù là có nguồn lực tốt và khả năng cao, lưu ý rằng các chiến thuật phù hợp với những chiến thuật thường được sử dụng bởi các mạng lưới operational relay box (ORB) được sử dụng bởi các nhóm hacker được chính phủ tài trợ.
Mặc dù không có sự quy kết cụ thể nào được đưa ra, các chiến dịch như vậy trong lịch sử đã được liên kết với các hoạt động mạng từ các quốc gia bao gồm Trung Quốc, Nga, Triều Tiên và Iran. Việc tập trung vào xây dựng một mạng lưới phân tán các thiết bị bị xâm nhập cho thấy kẻ tấn công đang đặt nền móng cho các hoạt động quy mô lớn trong tương lai thay vì tìm kiếm lợi nhuận tiền tệ tức thì.
Cần hành động ngay lập tức cho chủ sở hữu router
Chủ sở hữu router Asus nên ngay lập tức kiểm tra thiết bị của họ để tìm dấu hiệu xâm nhập bằng cách kiểm tra cài đặt SSH trong bảng quản trị của router. Các thiết bị bị xâm nhập sẽ hiển thị SSH được bật trên cổng 53282 với public key cụ thể đã bị cắt ngắn bắt đầu bằng ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Đối với các router chưa bị xâm nhập, việc cập nhật lên firmware mới nhất sẽ cung cấp bảo vệ chống lại lỗ hổng CVE-2023-39780 . Tuy nhiên, các thiết bị đã bị xâm nhập cần khắc phục rộng rãi hơn. Người dùng phải thủ công loại bỏ hoặc vô hiệu hóa các mục SSH độc hại và chặn bốn địa chỉ IP command-and-control đã được xác định: 101.99.91.151, 101.99.94.173, 79.141.163.179, và 111.90.146.237.
Các bước khắc phục cho chủ sở hữu Router Asus
- Kiểm tra cài đặt SSH trong bảng quản trị router để phát hiện truy cập trái phép
- Cập nhật firmware ngay lập tức nếu thiết bị chưa bị xâm phậm
- Xóa/vô hiệu hóa các mục SSH độc hại nếu đã bị xâm phậm
- Chặn bốn địa chỉ IP độc hại đã được xác định
- Thực hiện khôi phục cài đặt gốc và cấu hình lại thủ công cho các thiết bị bị xâm phậm
- Sử dụng mật khẩu quản trị mạnh và duy nhất
- Vô hiệu hóa quản lý từ xa nếu không cần thiết
Khuyến nghị reset về cài đặt gốc cho các thiết bị bị xâm nhập
Đối với các router đã bị xâm nhập, Asus khuyến nghị thực hiện reset về cài đặt gốc hoàn toàn sau đó cấu hình lại thủ công để đảm bảo không còn dấu vết nào của cửa hậu. Bước mạnh mẽ hơn này là cần thiết bởi vì tính bền vững của cửa hậu có nghĩa là nó có thể tồn tại qua các bản cập nhật firmware tiêu chuẩn.
Sự cố này phục vụ như một lời nhắc nhở rõ ràng về tầm quan trọng cực kỳ của bảo mật router trong việc bảo vệ mạng gia đình và doanh nghiệp. Cập nhật firmware thường xuyên, mật khẩu quản trị mạnh và kiểm tra bảo mật định kỳ các thiết bị mạng là những thực hành thiết yếu để duy trì an ninh mạng trong một thế giới ngày càng kết nối.