وقالت Greynoise إنها اكتشفت الحملة في منتصف شهر مارس وتوقفت عن التقارير عليها حتى بعد أن أبلغت الشركة الوكالات الحكومية التي لم يكشف عن اسمها. هذه التفاصيل تشير كذلك إلى أن ممثل التهديد قد يكون له علاقة ببعض الدولة القومية.
ومضى باحثو الشركة يقولون إن النشاط الذي لاحظوه كان جزءًا من حملة أكبر ذكرت الأسبوع الماضي من قبل زميلها في شركة Sekoia. قال الباحثون في Sekoia إن المسح عبر الإنترنت من قبل شركة استخبارات الشبكات اقترح ما يصل إلى 9500 أجهزة توجيه ASUS ربما تعرضت للخطر بواسطة ViciousTrap ، وهو الاسم المستخدم لتتبع ممثل التهديد غير المعروف.
يقوم المهاجمون بتجميع الأجهزة عن طريق استغلال نقاط الضعف المتعددة. أحدهما هو CVE-2023-39780 ، وهو عيب في حقن الأوامر الذي يسمح بتنفيذ أوامر النظام ، والتي تم تصحيحها في تحديث للبرامج الثابتة الأخيرة ، على حد قول Greynoise. كما تم تصحيح نقاط الضعف المتبقية ، ولكن ، لأسباب غير معروفة ، لم تتلق تسميات تتبع CVE.
الطريقة الوحيدة لمستخدمي جهاز التوجيه لتحديد ما إذا كانت أجهزتهم مصابة بالتحقق من إعدادات SSH في لوحة التكوين. ستظهر أجهزة التوجيه المصابة أنه يمكن تسجيل الجهاز بواسطة SSH عبر المنفذ 53282 باستخدام شهادة رقمية مع مفتاح مقطوع: SSH-RSA AAAAB3NZAC1YC2EAAAAAAAAQAEAO41NBOVFFJ4HLVMGV+YPSXMDRMLBDDZ …
لإزالة الباب الخلفي ، يجب على المستخدمين المصابين إزالة المفتاح وإعداد المنفذ.
يمكن للأشخاص أيضًا تحديد ما إذا كانوا قد تم استهدافهم إذا كانت سجلات النظام تشير إلى أنه تم الوصول إليها من خلال عناوين IP 101.99.91[.]151 ، 101.99.94[.]173 ، 79.141.163[.]179 ، أو 111.90.146[.]237. يجب على مستخدمي أي علامة تجارية لجهاز التوجيه أن يضمنوا دائمًا أن تتلقى أجهزتهم تحديثات أمان في الوقت المناسب.
