- Ataques miram roteadores Asus de residências e pequenos escritórios.
- Acesso sobrevive a reinicializações e atualizações de firmware.
- Dispositivos infectados podem ser controlados remotamente.
Especialistas em cibersegurança emitiram um alerta preocupante: milhares de roteadores Asus estão sendo alvo de uma campanha de backdoor altamente sofisticada. A empresa de segurança GreyNoise identificou pelo menos 9 mil dispositivos afetados em todo o mundo, com indícios de que esse número continua crescendo.
Os invasores, cuja identidade ainda é desconhecida, exploram vulnerabilidades antigas — corrigidas, mas pouco monitoradas — para obter acesso administrativo aos dispositivos. Depois, instalam uma chave pública de criptografia, permitindo login remoto via SSH sempre que desejarem.
O acesso do invasor sobrevive tanto a reinicializações quanto a atualizações de firmware, dando-lhe controle duradouro sobre os dispositivos afetados.
O ataque não instala malwares nem deixa rastros visíveis, dificultando a detecção. Mas a técnica usa desvios de autenticação e abusa de recursos legítimos de configuração dos roteadores Asus.
A campanha, batizada de ViciousTrap, pode ter ligações com agentes estatais ou grupos de ciberespionagem bem financiados. A GreyNoise só divulgou os dados após notificar agências governamentais, reforçando a hipótese de envolvimento de um estado-nação.
Outro grupo, a empresa de segurança Sekoia, também relatou atividade semelhante e indicou que até 9.500 roteadores Asus poderiam estar comprometidos.
Uma das falhas exploradas pelos atacantes é a CVE-2023-39780, uma vulnerabilidade de injeção de comandos já corrigida pela Asus. No entanto, outras falhas usadas no ataque não possuem identificação CVE, o que dificulta o rastreamento e resposta por parte dos usuários.
Como identificar e remover o backdoor do roteador Asus
Usuários de roteadores Asus podem verificar se foram afetados examinando as configurações de SSH em seus dispositivo. Os roteadores comprometidos exibirão acesso ativo pela porta 53282, utilizando uma chave truncada semelhante a:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Além disso, os registros de sistema podem mostrar conexões oriundas dos seguintes IPs suspeitos:
-
101.99.91[.]151 -
101.99.94[.]173 -
79.141.163[.]179 -
111.90.146[.]237
Para remover o backdoor, os usuários devem excluir manualmente a chave e a configuração da porta nas opções de SSH do roteador.
Especialistas recomendam que todos os usuários mantenham seus roteadores atualizados e revisem regularmente as configurações de segurança.
Embora a campanha atual tenha como alvo dispositivos Asus, qualquer marca pode ser vulnerável se negligenciadas atualizações de firmware e medidas de proteção.
