Greynoise a déclaré avoir détecté la campagne à la mi-mars et a retenu les rapports jusqu’à ce que la société ait avisé les agences gouvernementales anonymes. Ce détail suggère en outre que l’acteur de menace peut avoir un lien avec un État-nation.
Les chercheurs de l’entreprise ont poursuivi en disant que l’activité qu’ils observaient faisait partie d’une campagne plus large rapportée la semaine dernière par la société de sécurité Sekoia. Des chercheurs de Sekoia ont déclaré que la numérisation sur Internet par la société de renseignement de réseau Censys a suggéré jusqu’à 9 500 routeurs ASUS pouvait avoir été compromis par ViciousTrap, le nom utilisé pour suivre l’acteur de menace inconnu.
Les attaquants sont en arrière des appareils en exploitant plusieurs vulnérabilités. L’un est CVE-2023-39780, une faille d’injection de commande qui permet l’exécution des commandes système, que l’ASUS a corrigé dans une récente mise à jour du firmware, a déclaré Greynoise. Les vulnérabilités restantes ont également été corrigées mais, pour des raisons inconnues, n’ont pas reçu de désignations de suivi CVE.
La seule façon pour les utilisateurs de routeurs de déterminer si leurs appareils sont infectés est de vérifier les paramètres SSH dans le panneau de configuration. Les routeurs infectés montreront que l’appareil peut être connecté à SSH sur le port 53282 en utilisant un certificat numérique avec une clé tronquée de: SSH-RSA AAAAB3NZAC1YC2EAAAABIWAAAQEAO41NBOVFFJ4HLVMGV + YPSXMDRMLBDDZ …
Pour supprimer la porte dérobée, les utilisateurs infectés doivent supprimer la touche et le réglage du port.
Les gens peuvent également déterminer s’ils ont été ciblés si les journaux système indiquent qu’ils ont été accessibles via les adresses IP 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, ou 111.90.146[.]237. Les utilisateurs de toute marque de routeur doivent toujours s’assurer que leurs appareils reçoivent des mises à jour de sécurité en temps opportun.
