AyySSHush: Новый ботнет, угрожающий маршрутизаторам ASUS с использованием встроенных функций ПО
В марте 2025 года исследователи из GreyNoise выявили новую сложную кампанию кибератак под названием AyySSHush, нацеленную на маршрутизаторы ASUS. Этот ботнет использует многоэтапные методы внедрения, опираясь на встроенные легитимные функции системы AiProtection для обеспечения постоянного скрытого доступа к устройствам, что значительно усложняет задачу обнаружения и нейтрализации угрозы.
Механизм атаки и методы проникновения
AyySSHush достигает первоначального доступа к жертвам путём:
- атак методом brute force на страницу входа в систему маршрутизатора;
- использования старых уязвимостей для обхода аутентификации.
Особое внимание злоумышленники уделяют уязвимости CVE-2023-39780, связанной с внедрением аутентифицированных команд для манипуляции настройками AiProtection. Через вредоносные параметры токена обновления Google OAuth они получают возможность выполнять команды, изменяющие конфигурации маршрутизаторов.
Техника сохранения контроля над устройствами
Главной особенностью AyySSHush является использование встроенных механизмов для создания постоянного доступа. Атакующие внедряют собственный SSH-ключ в файл authorized_keys маршрутизатора, что позволяет им получить удалённый доступ через нестандартный порт TCP/53282. Такая тактика гарантирует, что доступ сохранится даже после обновления прошивки или сброса настроек, поскольку ключ передаётся через надежные конфигурационные механизмы и остаётся неизменным.
Масштабы и география поражения
По состоянию на 28 мая 2025 года аналитика GreyNoise и Censys выявила более 4504 скомпрометированных устройства ASUS по всему миру. Основные регионы распространения инфекции:
- США
- Швеция
- Тайвань
- Сингапур
- Гонконг
Примечательно, что атаки ориентированы преимущественно на сети широкополосного доступа в жилых домах, особенно в странах Азии и Европы, что свидетельствует о попытках маскировки трафика под обычные пользовательские данные.
Эволюция и устойчивость кампании
Исследователи связывают AyySSHush с более ранними операциями группы ViciousTrap, однако точное происхождение злоумышленников остаётся неопределённым. Характерной чертой современной активности является быстрая адаптация инфраструктуры ботнета — заметны резкие колебания в численности активных устройств, что может свидетельствовать о постоянных корректировках и реакциях на внешние попытки блокировки.
Несмотря на некоторое снижение количества заражённых маршрутизаторов, на данный момент тысячи устройств всё ещё остаются под контролем злоумышленников, подчеркивая глубину и долговременный характер угрозы.
Значение для безопасности IoT
AyySSHush демонстрирует тревожную тенденцию в сфере кибербезопасности Интернета вещей — злоумышленники всё активнее используют встроенные в устройства легальные функции, чтобы обходить механизмы обнаружения и закрепляться в системах на долгое время.
Такой подход ставит новые задачи перед производителями и специалистами по безопасности:
- необходимость тщательного аудита встроенного ПО;
- разработка более эффективных методов обнаружения скрытой активности;
- усиление защиты учетных данных и контроля доступа к маршрутизаторам.
В свете распространения подобных угроз пользователям рекомендуется регулярно обновлять устройства, использовать сложные пароли и внимательно следить за безопасностью своих домашних сетей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Ботнет AyySSHush: новая угроза безопасности маршрутизаторов ASUS".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.