Greynoise a déclaré avoir détecté la campagne à la mi-mars et a retenu les rapports jusqu’à ce que la société ait avisé les agences gouvernementales anonymes. Ce détail suggère en outre que l’acteur de menace peut avoir un lien avec un État-nation.
Les chercheurs de l’entreprise ont poursuivi en disant que l’activité qu’ils observaient faisait partie d’une campagne plus large rapporté la semaine dernière par une autre société de sécurité Sekoia. Des chercheurs de Sekoia ont déclaré que la numérisation sur Internet par les recenseurs de la société de renseignement de réseau avait suggéré autant que 9 500 routeurs Asus Peut-être compromis ViciousTrap, le nom utilisé pour suivre l’acteur de menace inconnu.
Les attaquants sont en arrière des appareils en exploitant plusieurs vulnérabilités. L’un est le CVE-2023-39780, un défaut d’injection de commande qui permet l’exécution des commandes système, que ASUS corrigées dans une récente mise à jour du firmware, a déclaré Greynoise. Les vulnérabilités restantes ont également été corrigées, mais n’ont pas reçu de désignations de suivi CVE pour des raisons inconnues.
La seule façon pour les utilisateurs de routeurs de déterminer si leurs appareils sont infectés est de vérifier les paramètres SSH dans le panneau de configuration. Les routeurs infectés montreront que l’appareil peut être connecté par SSH sur le port 53282 à l’aide d’un certificat numérique avec une clé tronquée de
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Pour supprimer la porte dérobée, les utilisateurs infectés doivent supprimer la touche et le réglage du port.
Les gens peuvent également déterminer s’ils ont été ciblés si les journaux système indiquent qu’ils ont été accessibles via les adresses IP 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, ou 111.90.146[.]237. Les utilisateurs de toute marque de routeur doivent toujours s’assurer que leurs appareils reçoivent des mises à jour de sécurité en temps opportun.