เราเตอร์ Asus หลายพันเครื่องถูกโจมตีในแคมเปญบอทเน็ตที่ซับซ้อน

การโจมตีทางไซเบอร์ขนาดใหญ่ได้โจมตีเราเตอร์ Asus มากกว่า 9,000 เครื่องทั่วโลก โดยนักวิจัยด้านความปลอดภัยเตือนว่าแคมเปญนี้ดูเหมือนจะเป็นผลงานของผู้โจมตีที่มีความซับซ้อนสูง การโจมตีครั้งนี้แสดงให้เห็นถึงการเพิ่มขึ้นอย่างน่าวิตกของอาชญากรรมไซเบอร์ที่อาศัยเราเตอร์ โดยใช้เทคนิคขั้นสูงในการสร้างช่องทางลับที่คงอยู่ได้แม้จะมีการอัปเดตเฟิร์มแวร์และรีบูตระบบ

ขนาดและผลกระทบของการโจมตี

• เราเตอร์ Asus กว่า 9,000 เครื่องได้รับการยืนยันว่าถูกบุกรุกแล้ว
• จำนวนยังคงเพิ่มขึ้นตามข้อมูลจากเครื่องมือสแกนอินเทอร์เน็ต Censys
• มีการสังเกตเห็นความพยายามในการเข้าถึงเพียง 30 ครั้งในช่วง 3 เดือน ซึ่งบ่งชี้ถึงแคมเปญที่ช้าและรอบคอบ
• การโจมตีนี้ถูกค้นพบโดย GreyNoise เมื่อวันที่ 18 มีนาคม 2024

วิธีการโจมตีขั้นสูงเล็งเป้าช่องโหว่ของเราเตอร์

อาชญากรไซเบอร์ใช้แนวทางหลายด้านในการเข้าถึงเราเตอร์ Asus โดยไม่ได้รับอนุญาต พวกเขารวมการโจมตีแบบ brute-force แบบดั้งเดิมเข้ากับเทคนิคการข้ามการตรวจสอบตัวตนที่ซับซ้อน โดยใช้ประโยชน์จากช่องโหว่ทั้งที่รู้จักแล้วและที่ยังไม่เคยเปิดเผยมาก่อน การโจมตีหลักใช้ประโยชน์จาก CVE-2023-39780 ซึ่งเป็นข้อบกพร่องในการฉีดคำสั่งที่ทำให้ผู้โจมตีสามารถรันคำสั่งระบบตามใจชอบได้เมื่อพวกเขาเข้าถึงอุปกรณ์ได้แล้ว

สิ่งที่ทำให้แคมเปญนี้แตกต่างคือแนวทางที่เป็นระบบของผู้โจมตีในการรักษาการควบคุมระยะยาว แทนที่จะติดตั้งมัลแวร์ที่เห็นได้ชัดทันที พวกเขาเน้นไปที่การสร้างช่องทางลับที่คงอยู่โดยใช้ฟังก์ชัน SSH ที่มีอยู่แล้วในเราเตอร์ แนวทางแอบแฝงนี้ทำให้การตรวจจับยากขึ้นอย่างมากสำหรับผู้ใช้ทั่วไปที่อาจไม่สังเกตเห็นพฤติกรรมเครือข่ายที่ผิดปกติ

รายละเอียดทางเทคนิคของการโจมตี

• ช่องโหว่หลักที่ถูกใช้ประโยชน์: CVE-2023-39780 (ช่องโหว่การแทรกคำสั่ง)
• ช่องโหว่เพิ่มเติมที่ไม่เปิดเผยก็ถูกใช้ประโยชน์เช่นกัน
• การเข้าถึง SSH ถูกสร้างขึ้นที่พอร์ต 53282
• แบ็คดอร์ถูกเก็บไว้ในหน่วยความจำแบบไม่ลบเลือน (NVRAM)
• การบันทึกล็อกถูกปิดใช้งานเพื่อหลีกเลี่ยงการตรวจจับ
• SSH public key ที่ถูกตัดทอน: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

ช่องทางลับที่คงอยู่รอดจากมาตรการรักษาความปลอดภัยมาตรฐาน

ด้านที่น่าวิตกที่สุดของการโจมตีครั้งนี้คือความคงอยู่ของช่องทางลับที่ติดตั้งไว้ ผู้โจมตีเก็บกลไกการเข้าถึงของพวกเขาไว้ในหน่วยความจำแบบไม่ลบเลือน (NVRAM) ของเราเตอร์ เพื่อให้มั่นใจว่าความพยายามในการแก้ไขมาตรฐาน เช่น การรีบูตหรืออัปเดตเฟิร์มแวร์ จะไม่สามารถลบการเข้าถึงโดยไม่ได้รับอนุญาตของพวกเขาได้ พวกเขายังปิดใช้งานฟังก์ชันการบันทึกเพื่อปกปิดร่องรอยของตนเอง ทำให้ผู้ใช้หรือผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการโจมตีได้ยาก

บริษัทรักษาความปลอดภัย GreyNoise ซึ่งค้นพบแคมเปญนี้ในเดือนมีนาคม 2024 สังเกตว่าผู้โจมตีสร้างการเข้าถึง SSH ผ่านพอร์ต 53282 โดยใช้ public key ที่ถูกตัดทอนเฉพาะ จำนวนความพยายามในการเข้าถึงที่ค่อนข้างน้อยที่สังเกตได้ในช่วงสามเดือนแสดงให้เห็นว่าการดำเนินงานกำลังดำเนินไปอย่างรอบคอบและเงียบๆ ซึ่งสอดคล้องกับวัตถุประสงค์เชิงกลยุทธ์ระยะยาวมากกว่าผลประโยชน์ทางการเงินในทันที

สงสัยว่ามีการมีส่วนร่วมของรัฐชาติ

ความซับซ้อนและลักษณะที่เป็นระบบของการโจมตีทำให้นักวิจัยด้านความปลอดภัยสงสัยว่ามีการมีส่วนร่วมของผู้โจมตีแบบ advanced persistent threat (APT) ที่อาจเชื่อมโยงกับการดำเนินงานของรัฐชาติ GreyNoise อธิบายว่าผู้โจมตีมีทรัพยากรมากและมีความสามารถสูง โดยสังเกตว่ากลยุทธ์ต่างๆ สอดคล้องกับที่มักใช้โดยเครือข่าย operational relay box (ORB) ที่ใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล

แม้ว่าจะยังไม่มีการระบุแหล่งที่มาเฉพาะเจาะจง แต่แคมเปญดังกล่าวในอดีตมักเชื่อมโยงกับการดำเนินงานทางไซเบอร์จากประเทศต่างๆ รวมถึง จีน รัสเซีย เกาหลีเหนือ และ อิหร่าน การมุ่งเน้นไปที่การสร้างเครือข่ายกระจายของอุปกรณ์ที่ถูกโจมตีแสดงให้เห็นว่าผู้โจมตีกำลังวางรากฐานสำหรับการดำเนินงานขนาดใหญ่ในอนาคตมากกว่าการแสวงหาผลตอบแทนทางการเงินในทันที

จำเป็นต้องดำเนินการทันทีสำหรับเจ้าของเราเตอร์

เจ้าของเราเตอร์ Asus ควรตรวจสอบอุปกรณ์ของตนทันทีเพื่อหาสัญญาณของการโจมตีโดยการตรวจสอบการตั้งค่า SSH ในแผงควบคุมของเราเตอร์ อุปกรณ์ที่ถูกโจมตีจะแสดง SSH ที่เปิดใช้งานบนพอร์ต 53282 พร้อมกับ public key ที่ถูกตัดทอนเฉพาะที่เริ่มต้นด้วย ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

สำหรับเราเตอร์ที่ยังไม่ถูกโจมตี การอัปเดตเป็นเฟิร์มแวร์เวอร์ชันล่าสุดจะให้การป้องกันจากช่องโหว่ CVE-2023-39780 อย่างไรก็ตาม อุปกรณ์ที่ถูกโจมตีแล้วต้องการการแก้ไขที่ครอบคลุมมากขึ้น ผู้ใช้ต้องลบหรือปิดใช้งานรายการ SSH ที่เป็นอันตรายด้วยตนเอง และบล็อกที่อยู่ IP ของ command-and-control ทั้งสี่ที่ระบุไว้: 101.99.91.151, 101.99.94.173, 79.141.163.179 และ 111.90.146.237

ขั้นตอนการแก้ไขปัญหาสำหรับเจ้าของเราเตอร์ Asus

1. ตรวจสอบการตั้งค่า SSH ในแผงควบคุมการจัดการเราเตอร์เพื่อหาการเข้าถึงที่ไม่ได้รับอนุญาต
2. อัปเดตเฟิร์มแวร์ทันทีหากอุปกรณ์ยังไม่ถูกบุกรุก
3. ลบหรือปิดการใช้งานรายการ SSH ที่เป็นอันตรายหากถูกบุกรุกแล้ว
4. บล็อกที่อยู่ IP ที่เป็นอันตรายทั้งสี่ตัวที่ระบุไว้
5. ทำการรีเซ็ตเป็นค่าเริ่มต้นและกำหนดค่าใหม่ด้วยตนเองสำหรับอุปกรณ์ที่ถูกบุกรุก
6. ใช้รหัสผ่านผู้ดูแลระบบที่แข็งแกร่งและไม่ซ้ำกัน
7. ปิดการจัดการระยะไกลหากไม่จำเป็นต้องใช้

แนะนำให้รีเซ็ตเป็นค่าเริ่มต้นสำหรับอุปกรณ์ที่ถูกโจมตี

สำหรับเราเตอร์ที่ถูกโจมตีแล้ว Asus แนะนำให้ทำการรีเซ็ตเป็นค่าเริ่มต้นอย่างสมบูรณ์ตามด้วยการกำหนดค่าใหม่ด้วยตนเองเพื่อให้แน่ใจว่าไม่มีร่องรอยของช่องทางลับเหลืออยู่ ขั้นตอนที่รุนแรงกว่านี้จำเป็นเพราะลักษณะที่คงอยู่ของช่องทางลับหมายความว่ามันสามารถรอดจากการอัปเดตเฟิร์มแวร์มาตรฐานได้

เหตุการณ์นี้เป็นการเตือนใจที่ชัดเจนถึงความสำคัญอย่างยิ่งของความปลอดภัยของเราเตอร์ในการปกป้องเครือข่ายบ้านและธุรกิจ การอัปเดตเฟิร์มแวร์เป็นประจำ รหัsผ่านผู้ดูแลระบบที่แข็งแกร่ง และการตรวจสอบความปลอดภัยของอุปกรณ์เครือข่ายเป็นระยะ เป็นแนวปฏิบัติที่จำเป็นสำหรับการรักษาความปลอดภัยทางไซเบอร์ในโลกที่เชื่อมต่อกันมากขึ้นเรื่อยๆ