Над 9 000 потребителски рутера на ASUS са били заразени от нов и изключително дискретен ботнет, наречен „AyySSHush“, който също така е бил насочен към устройства от Cisco, D-Link и Linksys. Кампанията, разкрита от изследователите по сигурността на GreyNoise през март 2025 г., показва признаци на дейност, свързана с държавно подкрепени заплахи, въпреки че до момента не е направено конкретно приписване.

Как се извършва атаката

Зловредната кампания комбинира атаки чрез груба сила за пароли, заобикаляне на автентикация и експлоатация на стари уязвимости, за да получи контрол върху рутерите. Сред засегнатите модели на ASUS са RT-AC3100, RT-AC3200 и RT-AX55.

Основен вектор на атака е стара уязвимост, CVE-2023-39780, която позволява на атакуващите да внедрят собствен SSH ключ и да активират SSH достъп на нестандартен порт – TCP 53282. Това осигурява устойчив бекдор в устройството, който оцелява дори при рестартиране и ъпдейт на фърмуера.

„Тъй като ключът се добавя чрез официалните функции на ASUS, промените в конфигурацията се запазват след ъпгрейд на фърмуера“, предупреждават от GreyNoise.

Атаката не разчита на зловреден софтуер, което я прави трудна за откриване. Освен това, нападателите деактивират журналите за събития и функцията за защита AiProtection на Trend Micro, допълнително повишавайки прикритието си.

Тихо, но ефективно заразяване

През последните три месеца са отчетени едва 30 зловредни заявки, свързани с тази кампания, но въпреки това броят на компрометираните рутери надхвърля 9 000. Това подчертава високата ефективност и прецизност на атаката, която остава извън радара на повечето системи за сигурност.

Дейността на AyySSHush вероятно се припокрива с друга кампания, проследена от френската фирма Sekoia, под името „Vicious Trap“, която също използва уязвимости (в случая CVE-2021-32030) за компрометиране на ASUS рутери.

В допълнение, Sekoia докладва, че атакуващите са се насочвали и към SOHO рутери, SSL VPN устройства, DVR системи и контролери за управление на бази данни (BMC), включително от D-Link, QNAP, Araknis Networks и други.

Целта на ботнета остава неясна

Засега няма доказателства за използване на рутерите за DDoS атаки или проксиране на трафик, но в някои случаи е засечен зловреден скрипт, който пренасочва мрежовия трафик през контролирани от нападателите устройства. Това предполага, че кампанията изгражда инфраструктура, която може да бъде използвана на по-късен етап за мащабни атаки.

Как да се защитим

ASUS вече е пуснала ъпдейти на фърмуера за засегнатите модели, с които се адресира уязвимостта CVE-2023-39780. Въпреки това, обновяването на фърмуера няма да премахне вече създадения SSH бекдор, ако той е добавен преди ъпдейта.

Препоръчителни действия:

• Незабавен ъпдейт на фърмуера на рутера;

• Проверка на файла authorized_keys за наличие на неоторизирани SSH ключове;

• Блокиране на следните IP адреси, идентифицирани като част от атаката:

  • 101.99.91[.]151

  • 101.99.94[.]173

  • 79.141.163[.]179

  • 111.90.146[.]237

• При съмнение за компрометиране – фабрично нулиране (factory reset) на рутера и повторна конфигурация със силна парола.