Potrivit companiei de securitate GreyNoise, o grupare de hackeri a luat în vizor mai ales routere Asus, alături de alte echipamente de rețea semnate de branduri cunoscute precum Cisco, QNAP și Synology, integrându-le într-o rețea clandestină tip botnet, gata de folosit în viitoare atacuri informatice cooronate.
Potrivit experților în securitate cibernetică GreyNoise, planul ”face parte dintr-o operațiune ascunsă de asamblare a unei rețele distribuite de dispozitive backdoor — putând pune bazele unei viitoare rețele de botnet”.
Spre exemplu, routerul tău de rețea ar putea fi folosit pentru a răspândii mii de mesaje spam, sau pentru a viza cu atacuri DDoS companii sau instituții legitime, blocând activitatea acestora.
Primele astfel de cazuri de infiltrare a echipamentelor de rețea au fost descoperite la începutul lunii martie 2025, campania continuând și în prezent, luând în vizor dispozitivele vulnerabile care nu au fost remediate pe calea actualizărilor de firmware.
Folosind Sift (instrumentul de analiză a sarcinii utile de rețea de la GreyNoise) și un profil de router ASUS complet emulat, care rulează în GreyNoise Global Observation Grid, cercetătorii au stabilit că autorii atacurilor au intrat mai întâi în routere folosind metode brute-force și ocolind autentificarea.
Vestea proastă pentru proprietarii acestor echipamente este că dispozitivele lor au reprezentat o capcană ușoară pentru atacatorii care au profitat de vulnerabilități cunoscute, exploatând o eroare de injectare a comenzilor pentru a rula comenzi de sistem. Această defecțiune este înregistrată drept CVE-2023-39780 și are un scor de severitate de 8,8/10 (ridicat).
„Tacticile utilizate în această campanie — acces inițial ascuns, utilizarea funcțiilor de sistem încorporate pentru persistență și evitarea atentă a detectării — sunt în concordanță cu cele observate în operațiunile avansate, pe termen lung, inclusiv activitatea asociată cu actori avansați de amenințare persistentă (APT) și rețele operaționale de tip „operational relee box” (ORB), se arată în informarea GreyNoise.
„Deși GreyNoise nu a făcut nicio atribuire în ce privește identitatea atacatorului, nivelul de competență sugerează un adversar cu resurse bogate și foarte capabil.”
Numărul precis al echipamentelor de rețea compromise nu este cunoscut cu exactitate, aprecierea „mii de dispozitive” reprezentând doar o aproximare, campania aflată în plină desfășurare având potențialul de a crește în mod exponențial numărul dispozitivelor infectate.
