La scoperta dell’attacco ai router ASUS
Nel maggio 2025, la società di intelligence informatica GreyNoise ha rivelato un’allarmante campagna di attacchi informatici che ha preso di mira migliaia di router ASUS. Questa operazione, che ha già compromesso oltre 9.000 dispositivi, è stata condotta con un livello di sofisticazione che suggerisce il coinvolgimento di attori avanzati nel panorama delle minacce informatiche.
L’attacco è stato identificato inizialmente a marzo 2025, quando il sistema di analisi AI di GreyNoise denominato “Sift” ha rilevato tre sospette richieste HTTP POST dirette agli endpoint dei router ASUS. Ciò che rende questo attacco particolarmente preoccupante è la sua natura furtiva e la capacità di stabilire backdoor persistenti che sopravvivono sia ai riavvii che agli aggiornamenti del firmware.
Cronologia e sviluppo dell’attacco
Il 17 marzo 2025, GreyNoise ha notato le prime anomalie nel traffico diretto verso i router ASUS. Il giorno successivo, i ricercatori hanno avviato un’indagine approfondita utilizzando profili di router ASUS emulati e monitoraggio del traffico globale. Questo approccio ha permesso di ricostruire completamente la sequenza dell’attacco, che altrimenti sarebbe rimasto invisibile poiché gli aggressori hanno disabilitato i log e hanno evitato l’uso di malware tradizionale.
La campagna ha continuato a espandersi nei mesi successivi, con una divulgazione pubblica avvenuta solo il 28 maggio 2025, dopo che GreyNoise ha coordinato il processo di divulgazione con funzionari governativi e partner del settore.
Meccanismi di attacco e vulnerabilità sfruttate
Gli hacker hanno utilizzato una combinazione di tecniche sofisticate per compromettere i router ASUS, sfruttando sia vulnerabilità note che non documentate. Questo approccio multilivello ha garantito un accesso duraturo e difficile da rilevare ai dispositivi compromessi.
Vulnerabilità primarie utilizzate
L’attacco sfrutta principalmente la vulnerabilità CVE-2023-39780, un difetto di iniezione di comandi che consente l’esecuzione di comandi di sistema sui router. Oltre a questa, gli aggressori hanno utilizzato due tecniche aggiuntive di bypass dell’autenticazione che al momento della scoperta non erano ancora state assegnate numeri CVE ufficiali.
Gli attaccanti hanno anche tentato di accedere ai dispositivi attraverso tentativi di accesso con forza bruta, cercando di indovinare le credenziali di amministrazione predefinite o deboli.
Processo di compromissione
Una volta ottenuto l’accesso ai router, gli attaccanti hanno seguito un processo metodico:
- Abilitazione dell’accesso SSH su una porta non standard (TCP/53282)
- Inserimento della propria chiave pubblica SSH per garantirsi un accesso remoto
- Memorizzazione della backdoor nella NVRAM, una memoria che mantiene i dati anche dopo riavvii e aggiornamenti del firmware
- Disabilitazione del logging del router per eliminare quasi completamente le tracce digitali
Questo metodo di compromissione è particolarmente insidioso perché non richiede l’installazione di malware tradizionale, ma sfrutta invece le funzionalità legittime del router per creare un accesso persistente.
Impatto e portata dell’attacco
L’ampiezza di questa campagna è significativa, con oltre 9.000 router ASUS già compromessi al momento della scoperta. Questo numero continua a crescere, suggerendo che l’operazione è ancora in corso.
Dispositivi colpiti
I router ASUS esposti a Internet sono i principali bersagli di questa campagna. La vulnerabilità riguarda potenzialmente tutti i modelli che non hanno ricevuto gli ultimi aggiornamenti del firmware o che sono stati compromessi prima dell’applicazione delle patch.
Possibili motivazioni
Secondo GreyNoise, questa operazione sembra essere parte di un’operazione stealth per assemblare una rete distribuita di dispositivi backdoor, potenzialmente gettando le basi per una futura botnet. I metodi impiegati durante questa campagna rispecchiano strategie tipicamente associate a campagne sofisticate e prolungate condotte da attori di minacce persistenti avanzate (APT) che utilizzano reti di relay box operativi (ORB).
Sebbene GreyNoise non abbia fatto attribuzioni specifiche, il livello di abilità operativa mostrato suggerisce che l’autore sia un avversario formidabile e ben finanziato. Vale la pena notare che il targeting di dispositivi ORB è stata recentemente una tattica tipica di spionaggio informatico impiegata da hacker sponsorizzati dalla Cina.
Caratteristiche distintive dell’attacco
Ciò che distingue questa campagna da altri attacchi è la sua natura altamente stealth e la persistenza del backdoor creato. A differenza dei tipici attacchi malware, gli aggressori mantengono un accesso a lungo termine senza rilasciare malware o lasciare tracce evidenti.
Persistenza dopo gli aggiornamenti
Un aspetto particolarmente preoccupante è che il backdoor SSH e le chiavi installate dagli attaccanti non sono influenzati dagli aggiornamenti del firmware. Questo significa che anche se un utente aggiorna il proprio router con un firmware che corregge la vulnerabilità originale, l’accesso non autorizzato persiste.
Indicatori di compromissione
Il principale indicatore di compromissione è la presenza di un server SSH in esecuzione sulla porta insolita 53282. Gli utenti che notano questo servizio dovrebbero immediatamente investigare per assicurarsi che sia un servizio previsto e non un indicatore di compromissione.
Misure di protezione e rimedi
Per i proprietari di router ASUS, è fondamentale adottare misure immediate per proteggere i propri dispositivi da questa minaccia. Ecco una serie di azioni raccomandate:
Aggiornamenti firmware
ASUS ha rilasciato patch per la vulnerabilità CVE-2023-39780 e per le ulteriori vulnerabilità di bypass dell’autenticazione. Gli utenti dovrebbero immediatamente aggiornare il firmware dei loro router all’ultima versione disponibile.
Tuttavia, è importante notare che l’aggiornamento del firmware da solo potrebbe non essere sufficiente se il dispositivo è già stato compromesso.
Verificare la presenza di compromissione
Gli utenti dovrebbero controllare se sui loro router è in esecuzione un server SSH sulla porta 53282. Questo è un forte indicatore che il dispositivo potrebbe essere stato compromesso.
Reset di fabbrica e riconfigurazione
Se si sospetta una compromissione, è consigliabile:
- Eseguire un reset di fabbrica del router per cancellare la NVRAM (seguendo le procedure di risposta agli incidenti appropriate)
- Riconfigurare il router con nuove credenziali
- Ruotare tutti i token di autenticazione (password e chiavi SSH)
- Disabilitare esplicitamente l’accesso SSH se non necessario
Misure preventive aggiuntive
Per prevenire future compromissioni, considera queste misure aggiuntive:
- Cambia le credenziali di amministrazione predefinite
- Utilizza password complesse e uniche
- Limita l’accesso all’interfaccia di amministrazione del router solo dalla rete locale
- Disabilita l’accesso remoto quando non necessario
- Configura un firewall per bloccare l’accesso non autorizzato
- Monitora regolarmente i log del router per attività sospette
- Configura l’autenticazione a due fattori se supportata
Implicazioni più ampie per la sicurezza della rete
Questo attacco ai router ASUS evidenzia diverse tendenze preoccupanti nel panorama delle minacce informatiche che meritano attenzione.
L’evoluzione degli attacchi IoT
I dispositivi Internet of Things (IoT), come i router domestici, stanno diventando sempre più obiettivi attraenti per gli attori delle minacce. La loro ubiquità, la connessione permanente a Internet e spesso la mancanza di misure di sicurezza robuste li rendono bersagli ideali.
La crescente sofisticazione degli attacchi
La natura stealth di questa campagna, con la sua capacità di stabilire backdoor persistenti che sopravvivono agli aggiornamenti del firmware, dimostra il crescente livello di sofisticazione degli attacchi moderni. Gli attori delle minacce stanno diventando più abili nell’eludere il rilevamento e nel mantenere l’accesso a lungo termine.
L’importanza della collaborazione nella sicurezza
La scoperta e la divulgazione di questa campagna evidenziano l’importanza della collaborazione tra ricercatori di sicurezza, produttori e agenzie governative. GreyNoise ha lavorato con funzionari governativi e partner del settore per coordinare la divulgazione e la correzione delle vulnerabilità, dimostrando l’importanza di un approccio collaborativo alla sicurezza informatica.
Consigli per la sicurezza generale dei router
Oltre alle misure specifiche per mitigare questa minaccia, ecco alcuni consigli generali per migliorare la sicurezza dei router domestici e aziendali:
Gestione proattiva degli aggiornamenti
Non aspettare che emerga una minaccia specifica per aggiornare il firmware del tuo router. Crea una routine regolare per verificare e applicare gli aggiornamenti di sicurezza.
Implementazione di una strategia di segmentazione della rete
Considera di segmentare la tua rete domestica o aziendale per limitare il potenziale impatto di una compromissione. Ad esempio, mantieni i dispositivi IoT su una rete separata dai computer che contengono dati sensibili.
Monitoraggio regolare della rete
Utilizza strumenti di monitoraggio della rete per identificare dispositivi sconosciuti o comportamenti anomali. Esistono diverse soluzioni, sia commerciali che open source, che possono aiutare a rilevare attività sospette sulla tua rete.
Audit periodici di sicurezza
Conduci regolarmente audit di sicurezza sui tuoi dispositivi di rete. Questo può includere la scansione delle porte aperte, la verifica delle configurazioni e il test delle vulnerabilità.
Formazione e consapevolezza
Se gestisci una rete aziendale, assicurati che il personale IT sia formato sulle migliori pratiche di sicurezza per i router e altri dispositivi di rete. Per le reti domestiche, informati regolarmente sulle minacce emergenti e sulle misure di protezione.
La campagna di backdoor contro i router ASUS rappresenta un significativo avvertimento sul crescente rischio di attacchi sofisticati contro dispositivi di infrastruttura di rete. La capacità degli attaccanti di stabilire accessi persistenti che sopravvivono agli aggiornamenti del firmware è particolarmente preoccupante e sottolinea la necessità di un approccio più proattivo alla sicurezza dei router.
Per i proprietari di router ASUS, è essenziale verificare immediatamente i propri dispositivi per segni di compromissione e adottare le misure correttive appropriate. Per tutti gli utenti di router, questo incidente serve come promemoria dell’importanza di mantenere aggiornati i dispositivi, utilizzare credenziali forti e monitorare regolarmente l’attività di rete.
Man mano che le minacce informatiche continuano a evolversi, anche le nostre strategie di difesa devono adattarsi. La vigilanza continua, gli aggiornamenti regolari e un approccio stratificato alla sicurezza sono fondamentali per proteggere le nostre reti domestiche e aziendali da queste minacce emergenti.
Fonte: https://www.databreachtoday.com/thousands-asus-routers-hit-by-persistent-backdoor-a-2853
