Aproximativ 9.000 de routere ASUS afectate de un atac pentru a adăuga un backdoor SSH persistent
Hackeri au obținut acces neautorizat și persistent la aproximativ 9.000 de routere ASUS într-o campanie de exploatare continuă, conform Bleepincomputer.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Spre deosebire de atacurile malware tipice, atacatorii mențin accesul pe termen lung fără a lansa malware sau a lăsa urme. În schimb, operațiunea folosește anumite caracteristici legitime ale routerelor pentru a crea backdoor-uri persistente care supraviețuiesc actualizărilor de firmware și repornirilor.
Botnet-ul numit „AyySSHush” a fost observat că vizează și routere SOHO de la Cisco, D-Link și Linksys.
Campania a fost descoperită de cercetătorii de securitate cibernetică GreyNoise la mijlocul lunii martie 2025, care raportează că poartă semnele distinctive ale unui actor de amenințare de tip stat-națiune, deși nu au fost făcute atribuții concrete.
Compania de securitate cibernetică raportează că atacurile combină forțarea brută a datelor de autentificare, ocolirea autentificării și exploatarea unor vulnerabilități mai vechi pentru a compromite routerele ASUS, respectiv modelele RT-AC3100, RT-AC3200 și RT-AX55.
Mai exact, atacatorii exploatează o veche eroare de injecție de comenzi, înregistrată ca CVE-2023-39780, pentru a adăuga propria cheie publică SSH și a permite daemonului SSH să asculte pe portul TCP non-standard 53282. Aceste modificări permit atacatorilor să păstreze accesul backdoor la dispozitiv chiar și între reporniri și actualizări de firmware.
„Deoarece această cheie este adăugată folosind funcțiile oficiale ASUS, această modificare de configurație este persistată în timpul actualizărilor de firmware”, explică un alt raport conex al GreyNoise.
„Dacă ați fost afectat de atac anterior, actualizarea firmware-ului NU va elimina backdoor-ul SSH.”
Atacul este deosebit de bine ascuns, fără a implica malware, în timp ce atacatorii dezactivează și înregistrarea în jurnal și AiProtection de la Trend Micro pentru a evita detectarea.
GreyNoise a raportat înregistrarea în log-uri a doar 30 de solicitări malițioase asociate cu această campanie în ultimele trei luni, deși 9.000 de routere ASUS au fost infectate.
Totuși, trei dintre aceste solicitări au fost suficiente pentru a declanșa instrumentul de analiză bazat pe inteligență artificială al GreyNoise, care le-a semnalat pentru inspecție umană.
Campania se suprapune probabil cu activitatea urmărită de Sekoia și denumită „Vicious Trap” (Capcană Vicioasă), dezvăluită săptămâna trecută, deși firma franceză de securitate cibernetică a raportat că infractorii cibernetici au folosit CVE-2021-32030 pentru a sparge routerele ASUS.
În campania observată de Sekoia, atacatorii au fost observați vizând routere SOHO, VPN-uri SSL, DVR-uri și controlere BMC de la D-Link, Linksys, QNAP și Araknis Networks.
Scopul operațional exact al AyySSHush rămâne neclar, deoarece nu există semne de atacuri tip distributed denial of service (DDoS) – negare distribuită a serviciului sau de utilizare a dispozitivelor pentru a redirecționa traficul malițios prin routerele ASUS ca proxy.
Cu toate acestea, în breșele routerelor observate de Sekoia, un script malițios a fost descărcat și executat pentru a redirecționa traficul de rețea de la sistemul compromis către dispozitive terțe controlate de atacator.
În prezent, se pare că această campanie construiește o rețea de routere compromise cu backdoor pentru a crea terenul pentru o viitoare rețea botnet.
Ce se recomandă dacă aveți un router Asus
ASUS a lansat actualizări de securitate care abordează problema CVE-2023-39780 pentru routerele afectate, deși momentul exact al disponibilității variază în funcție de model.
Utilizatorilor li se recomandă să își actualizeze firmware-ul cât mai curând posibil și să caute fișiere suspecte și adăugarea cheii SSH a atacatorului (IoCs aici) în fișierul „authorized_keys”.
De asemenea, GreyNoise listează patru adrese IP asociate cu această activitate, care ar trebui adăugate la o listă de blocare.
101.99.91[.]151
101.99.94[.]173
79.141.163[.]179
111.90.146[.]237
Dacă dețineți un router Asus, există o modalitate simplă de a vedea dacă hackerii au intrat în dispozitivul dvs. Mai întâi, conectați-vă la firmware-ul routerului și căutați opțiunea „Activați SSH” în setări. Ar putea fi în secțiunea „Service” sau „Administrare”. Dacă dispozitivul este compromis, va afișa că cineva se poate conecta la el folosind SSH prin portul 53282 cu acest exemplu de cheie publică SSH (trunchiată aici):
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
Dacă se suspectează o compromitere, se recomandă o resetare la setările din fabrică pentru a curăța routerul complet și apoi reconfigurarea lui de la zero folosind o parolă puternică.
