Router Asus sotto attacco: backdoor insidiosa colpisce migliaia di dispositivi

https://www.hdblog.it/hardware/articoli/n620115/asus-router-infettati-backdoor-allarme-ricercatori/

HDblog.it May 29, 2025 · 2 mins read
Router Asus sotto attacco: backdoor insidiosa colpisce migliaia di dispositivi
Share this

Migliaia di router del brand Asus sarebbero stati compromessi, con gravissime conseguenze per la privacy e la sicurezza dei rispettivi utenti. A lanciare l'allarme sono i ricercatori di GreyNoise che, considerata la gravità e il livello di sofisticazione dell'attacco, suggeriscono possa essere opera di hacker legati a un governo straniero.

I ricercatori di GreyNoise hanno scoperto una backdoor sofisticata che consente l’accesso remoto ai dispositivi infettati, resistendo sia ai riavvii che agli aggiornamenti firmware. Sarebbero oltre 9000 i router della Asus infettati in questo modo. Il rapporto è stato pubblicato questo mercoledì.

Il gruppo dietro l’attacco, probabilmente legato a un'entità statale, sfrutta vulnerabilità note e patchate (alcune delle quali mai tracciate ufficialmente con codici CVE) per ottenere il controllo amministrativo dei router. Una volta dentro, installano una chiave pubblica SSH che consente l’accesso continuo a chiunque possegga la chiave privata corrispondente. Questo sistema non lascia malware visibili né tracce evidenti, rendendo la compromissione particolarmente difficile da individuare.

Secondo GreyNoise, l’obiettivo al momento non sembra essere l’uso immediato dei dispositivi compromessi, ma piuttosto la creazione di una rete di router controllati da remoto, da attivare in operazioni future. La scoperta dei ricercatori potrebbe avere compromesso gli obiettivi criminali degli hacker, dunque. GreyNoise ha spiegato che l'operazione è stata scoperta grazie all'uso di Sift, una nuova AI proprietaria progettata proprio per scoprire vulnerabilità e attacchi in corso come quello descritto in questa notizia.

Fortunatamente, è possibile verificare se il proprio router è stato compromesso "semplicemente" verificando gli accessi SSH attivi. Semplicemente tra virgolette, perché ci rendiamo conto che si tratta di un'operazione che potrebbe non essere alla portata di tutti gli utenti.

I router infettati mostrano un accesso SSH attivo sulla porta 53282, con una chiave che inizia con la seguente stringa: "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ..." .

E' anche possibile verificare se il proprio router è stato contattato da uno dei seguenti IP:

  • 101.99.91[.]151

  • 101.99.94[.]173

  • 79.141.163[.]179

  • 111.90.146[.]237

In caso positivo, è necessario eliminare manualmente la chiave SSH e la porta nel pannello di configurazione del router. A prescindere dalla compromissione o meno del router, vi raccomandiamo di verificare e abilitare l'installazione automatica di patch e firmware di sicurezza. Asus ha già rilasciato una patch per correggere la vulnerabilità che rende possibile l'installazione della backdoor, ciononostante, se questa è già stata installata non c'è altra soluzione se non quella di rimuoverla manualmente seguendo le istruzioni che vi abbiamo riportato (e che trovate in dettaglio anche nei link in fonte).

asus
Jackie Chan gives rare Rush Hour 4 update and makes urgent demand
Lucid Air Sapphire, la super berlina elettrica in Europa: la Tesla Model S Plaid è avvertita