Тисячі маршрутизаторів, вироблених компанією Asus, стали жертвами витонченої атаки, що передбачає наявність стійкого бекдору. Цей бекдор здатен виживати після перезавантаження та оновлення прошивки, що викликає занепокоєння у фахівців з кібербезпеки.
Зловмисники отримують доступ до пристроїв, експлуатуючи вразливості, які вже виправлені, але деякі з них навіть не зафіксовані у міжнародній системі CVE. Після несанкціонованого отримання адміністративного контролю, зловмисники встановлюють публічний ключ шифрування для доступу до маршрутизатора через SSH. Відтак, будь-хто, хто має приватний ключ, може автоматично увійти до пристрою з адміністративними правами.
Дослідники компанії GreyNoise повідомили, що доступ зловмисників зберігається навіть після перезавантаження та оновлень прошивки, що дає їм тривалий контроль над ураженими пристроями. Вони використовують методи обходу аутентифікації та легітимні функції конфігурації, щоб зберегти доступ без залишення очевидних слідів.
На даний момент зафіксовано близько 9000 уражених пристроїв по всьому світу, і ця цифра продовжує зростати. Дослідники зазначають, що поки що немає жодних ознак того, що зловмисники використовують уражені пристрої в якихось активних атаках. Скоріше за все, вони просто накопичують компрометовані пристрої для подальшого використання в майбутньому.