Содержание страницы
Проблема имела массовый характер в конце октября, пик атаки пришелся на первые числа ноября 2024 года. До этого были только единичные случаи.
На нескольких ресурсах в том числе на 4pda и snbforums, начались жалобы, так же началась активная компания по сбору данных о проблеме. Были найдены общие критерии, а так же найден примерный алгоритм действия вредоносного ПО.
Всех пострадавших просили обратиться в Support ASUS на сайте, с жалобой и подробным описанием симптомов, а так же проведенных проверок.
После чего началась дискуссия на предмет, восстановления и предоставления данных в ASUS PRIST для решения данное проблемы. В итоге после нескольких предложений для решения проблемы в ASUS PRIST, начали выходить новые прошивки примерно с 5 ноября. В нашем паблике мы старались держать актуальную информацию по проблеме.
Информация о взломе
Устройства ASUS под угрозой, внешняя атака нацелена на проприетарные приложения ASUS. Атаке подвергались несколько служб в устройстве ASUS. Первое происходил массовый опрос по DDNS это первоначальная точка входа, затем использовалась лазейка в ASUS AiCloud, которая давала доступ к устройству, сама же вредоносная программа создавала несколько экземпляров, и создавала довольно большую нагрузку на процессор, а также генерировала достаточно большой поток трафика. Помимо этого программа удаляла некоторые директории, в одной из них временно организовывался доступ к заводской конфигурации. Что и приводило к потере заводской конфигурации.
О проблеме ошибочного или временного подключения заводской конфигурации в 2022 был отправлен Bug Report, но из-за того что в этом же году компания ASUS начала закрывать свои представительства, то и отчет не дошел до группы разработчиков.
Кто может пострадать
- Пользователи с публичным IP адресом использующие службы удаленного доступа ASUS AiCloud, AiDisk, DDNS
Все у кого серый / не публичный IP адрес вам пока беспокоится не о чем. Но, это не точно!
Симптомы
- Высокая загрузка процессора до 100%
- Медленная работа интернет соединений
- После перезагрузки или сброса настроек не работает WiFi
- Загрузка устройства занимает до 5 минут
- После перезагрузки роутер в цикличной перезагрузке
- Ошибка The country code is not exist! Please enter Country Code
Диагностика
Проверка была ли потеряна заводская конфигурация. Подключаемся к роутеру по SSH и выполняем несколько команд:
ATE Get_DateCode ATE Get_HwBom ATE Get_HwId ATE Get_HwVersion ATE Get_PINCode ATE Get_ModelName ATE Get_SerialNumber ATE Get_TerritoryCode
Взломанное устройство определить просто
- Все значения пустые
- Территориальный код YY/01, YY/02, YY/20 *
- MAC адрес не соответствует реальному с наклейки устройства *
- Пинкод для подключения к WiFi сети 12345670 *
Все пункты помеченные *, означают, что роутер частично восстановлен средствами прошивки, но для полноценной работы нужно полностью восстановить конфигурацию.
Как обезопасить себя
- Сделать резервную копию настроек из веб-интерфейса Администрирование -> Управление настройками -> [Сохранение настроек], этот файл поможет восстановить оригинальные калибровки радио модулей
- Отключить DDNS, AiCloud, AiDisk
- Отозвать принятые соглашения (Администрирование => [Политика])
Рекомендуется сделать всем владельцам WiFi 7. Потерь заводской конфигурации у МТК и Qualcomm не было. Но часть проблем могут быть на любом роутере, кодовая база проприетарных приложений одинаковая для всех устройств.
Решение
Все устройства можно восстановить. Для восстановления нужно обратиться в паблик и обратиться за помощью. Публичных способов восстановление не будет, каждая модель требует индивидуального подхода и решения.