Tvrtka GreyNoise objavila je da je otkrila kampanju sredinom ožujka, ali je čekala s objavom dok nije obavijestila neimenovane vladine agencije. Taj detalj dodatno sugerira da bi prijetnja mogla biti povezana s nekom državom.
Istraživači tvrtke GreyNoise navode da je aktivnost koju su primijetili dio veće kampanje koju je prošlog tjedna prijavila sigurnosna tvrtka Sekoia. Istraživači iz Sekoie su rekla da je skeniranje interneta od strane tvrtke za mrežnu inteligenciju Censys sugeriralo da je čak 9,500 Asus usmjerivača moglo biti kompromitirano od strane ViciousTrap, naziva koji se koristi za praćenje nepoznatog napadača.
Napadači koriste backdoor pristup uređajima iskorištavajući višestruke ranjivosti. Jedna od njih je CVE-2023-39780, ranjivost koja omogućava izvršavanje sistemskih naredbi, a koju je Asus zakrpao u nedavnom ažuriranju firmvera, navodi GreyNoise. Preostale ranjivosti također su zakrpane, no iz nepoznatih razloga nisu dobile oznake CVE.
Jedini način da korisnici usmjerivača utvrde jesu li njihovi uređaji zaraženi je provjera SSH postavki u konfiguracijskom panelu. Zaraženi usmjerivači će pokazati da se uređaj može prijaviti putem SSH na portu 53282 koristeći digitalni certifikat s skraćenim ključem: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Da bi uklonili backdoor, zaraženi korisnici trebaju ukloniti ključ i postavku porta. Također, korisnici mogu utvrditi jesu li bili ciljani ako sistemski logovi ukazuju na to da su pristupani putem IP adresa 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, ili 111.90.146[.]237. Korisnici bilo koje marke usmjerivača trebali bi uvijek osigurati da njihovi uređaji pravovremeno primaju sigurnosna ažuriranja.
