Migliaia di router Asus sono stati violati e “reclutati” nella botnet AyySSHush. L’attacco è stato individuato dalla società GreyNoise nel marzo scorso, ma i dettagli dell’attacco sono stati resi pubblici solo qualche giorno fa. Ora l’azienda con sede a Taiwan conferma l’esistenza del problema. La vicenda, però, è piuttosto complicata. Secondo i ricercatori di sicurezza che hanno analizzato l’attacco, infatti, non è escluso che si tratti dell’azione di un gruppo di “hacker di stato”.
I ricercatori di GreyNoise hanno rilevato gli attacchi ai router Asus grazie a un sistema di analisi basato su intelligenza artificiale che ha individuato una serie di anomalie nel traffico di alcuni router Asus, in particolare verso i modelli RT-AC3100, RT-AC3200 e RT-AX55. Le comunicazioni in questione, apparentemente trascurabili, erano in realtà l’indizio di un attacco di brute forcing, cioè una tecnica che prevede continui tentativi di accesso con credenziali sempre diverse, nel tentativo di “indovinare” quelle giuste.
I volumi di attacchi di brute forcing. Fonte: GreyNoise
In seguito, i cyber criminali autori dell’attacco hanno cominciato a usare delle tecniche più evolute per aggirare i sistemi di autenticazione, sfruttando poi una vecchia vulnerabilità (CVE-2023-39780) che consente di eseguire comandi all’interno del sistema operativo del router.
