Исследователи из GreyNoise зафиксировали масштабную атаку на устройства ASUS, в результате которой злоумышленники получили контроль над более чем 9 тыс. маршрутизаторов. Преступники используют скрытный ботнет, получивший обозначение «AyySSHush», который незаметно устанавливает постоянный канал доступа, позволяющий управлять устройствами даже после их перезагрузки и установки новой прошивки.
По данным GreyNoise, вредоносная активность была выявлена ещё в марте 2025 года. Специалисты подчёркивают, что характер атаки указывает на участие структур, способных действовать на государственном уровне. При этом ни одна страна напрямую не упоминается как источник угрозы.
Заражение осуществляется через подбор паролей, обход защиты и эксплуатацию уязвимостей в прошивке. В частности, задействуется известный сбой CVE-2023-39780, позволяющий внедрить собственный открытый SSH-ключ и активировать прослушку нестандартного порта 53282. Конфигурация изменяется с использованием штатных возможностей маршрутизаторов ASUS, благодаря чему сохраняется даже при установке новых версий прошивки. Об этом отдельно упомянуто в дополнительном отчёте, опубликованном исследователями GreyNoise.
Чтобы избежать обнаружения, злоумышленники отключают функции безопасности, в том числе защитный модуль Trend Micro AiProtection и системные журналы. Такая маскировка делает присутствие бэкдора практически незаметным, особенно с учётом того, что вредоносных сетевых запросов фиксируется минимальное количество. За три месяца их число не превысило 30, но и этого хватило, чтобы автоматизированная система GreyNoise на основе ИИ направила сигналы на ручную проверку.
GreyNoise предполагает, что описанная кампания может быть связана с операцией «Vicious Trap», недавно описанной экспертами из Sekoia. Французская компания уточняет, что в их наблюдениях использовалась другая уязвимость — CVE-2021-32030, также направленная против маршрутизаторов ASUS.
Кроме продукции ASUS, в фокусе атак также находятся устройства D-Link, Linksys, QNAP и Araknis Networks. Злоумышленники проявляют интерес к маршрутизаторам, VPN-сервисам, цифровым видеорегистраторам и управляющим контроллерам, применяемым как в домашних сетях, так и в малом бизнесе.
Оригинал публикации на сайте CISOCLUB: "Хакеры массово проникают в маршрутизаторы ASUS через скрытый SSH-бэкдор и остаются в системе после обновлений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.