Router Asus sotto attacco: migliaia di dispositivi compromessi

Un cyberattacco senza precedenti ha compromesso oltre 9.000 router Asus, sollevando un allarme sulla sicurezza dei dispositivi consumer. Il team di GreyNoise, che ha rilevato l’attacco iniziato il 17 marzo, lo definisce “Uno degli attacchi più sofisticati mai osservati“.

Questo operazione ha consentito agli hacker di mantenere il controllo sui dispositivi anche dopo riavvii e aggiornamenti del firmware, sfruttando una pericolosa vulnerabilità SSH. L’attacco ha infatti sfruttato una backdoor SSH per accedere ai router e creare una potente botnet, con l’obiettivo di sfruttare i dispositivi compromessi per future offensive su larga scala. La persistenza dell’attacco e l’utilizzo improprio di funzionalità ufficiali Asus rendono questa minaccia particolarmente preoccupante.

La sofisticazione tecnica di questa campagna hacker suggerisce il coinvolgimento di un avversario ben finanziato e altamente preparato. Sebbene non sia ancora stata identificata con certezza l’origine dell’attacco, le caratteristiche tecniche richiamano operazioni precedentemente attribuite a nazioni come Cina, Russia, Corea del Nord e Iran.

Secondo Thomas Pace, amministratore delegato di NetRise, le vulnerabilità documentate dalla CISA (Cybersecurity and Infrastructure Security Agency) coinvolgono praticamente tutti i principali produttori di router, evidenziando un problema sistemico nel settore delle telecomunicazioni.

Come proteggere il tuo router Asus?

Per determinare se il proprio router Asus è stato compromesso, GreyNoise consiglia di seguire questi passaggi:

1. Accedere al firmware tramite l’applicazione Asus o visitando il sito ufficiale del produttore (ovvero www.asusrouter.com);
2. Controllare se l’opzione Enable SSH è attivata nelle impostazioni;
3. Verificare se il protocollo SSH è in esecuzione sulla porta 53282 con una chiave pubblica SSH troncata.

Se il dispositivo non mostra segni di infezione, è essenziale aggiornare immediatamente il firmware con la patch rilasciata da Asus. Tuttavia, per i router già compromessi, è necessario adottare le seguenti misure:

• Disattivare l’SSH dalle impostazioni;
• Bloccare gli indirizzi IP malevoli (101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237);
• Effettuare un ripristino alle impostazioni di fabbrica;
• Installare l’ultimo firmware disponibile.

Questo attacco evidenzia una nuova era di minacce informatiche, con configurazioni malevole che persistono anche dopo aggiornamenti firmware. L’offensiva ricorda il famigerato attacco Mirai del 2016, in cui una botnet di dispositivi IoT compromessi causò interruzioni di servizio a piattaforme globali come Twitter e Netflix.