9,000以上のASUSルーターが持続的SSHバックドアを介してハイジャックされる

サイバーセキュリティ企業GreyNoiseは、9,000以上のインターネットに接続されたASUSルーターが成功裏に侵害された秘密のハッキングキャンペーンを発見しました。

2025年3月18日にGreyNoiseの独自のAI駆動分析ツールSIFTによって最初に検出され、研究者たちが政府や業界のパートナーと調整した後、キャンペーンは水曜日に公に開示されました。

攻撃者は、ブルートフォースログイン試行、認証バイパス、および既知のコマンドインジェクション脆弱性（CVE-2023-39780）を組み合わせて、静かにSecure Shell（SSH）を介して持続的なバックドアをインストールしました。

このキャンペーンが特に警戒すべきなのは、その隠密性と耐久性です：不正アクセスは再起動やファームウェアの更新を生き延び、影響を受けたデバイスに対する持続的な制御を与えます。

“ 攻撃者は、マルウェアを落としたり明らかな痕跡を残したりせずに、認証バイパスを連鎖させ、既知の脆弱性を悪用し、正当な設定機能を悪用することで長期的なアクセスを維持します。”とGreyNoiseの研究者は水曜日のブログ投稿で書いています。

GreyNoiseのグローバル観測グリッドで実行される完全にエミュレートされたASUSルータープロファイルと深層パケット検査を使用して、研究者たちは攻撃チェーンを再構築し、バックドアメカニズムを特定することができました。

攻撃の仕組み

攻撃者は、ブルートフォースログイン試行や文書化されていない認証バイパスを通じて初期アクセスを得ます。これには、CVEが割り当てられていない技術も含まれます。その後、既知の脆弱性CVE-2023-39780、コマンドインジェクションの欠陥を悪用して、ルーター上で任意のコマンドを実行します。

正当なASUS機能を使用して、カスタムポート（TCP/53282）でSSHアクセスを有効にし、リモートアクセス用の攻撃者制御の公開鍵を挿入します。バックドアは不揮発性メモリ（NVRAM）に保存され、再起動やファームウェアの更新を生き延びることができます。

“この鍵は公式のASUS機能を使用して追加されるため、この設定変更はファームウェアのアップグレードを通じて持続します。”とGreyNoiseの別の関連報告は詳細に述べています。“以前に侵害された場合、ファームウェアをアップグレードしてもSSHバックドアは削除されません。”

隠れるために、攻撃者はシステムログを無効にし、マルウェアを使用せず、Trend MicroのAiProtectionを回避し、慎重な計画と深い技術的知識を示しています。

重要性

攻撃者は、将来のサイバー作戦で武器化可能な妥協されたデバイスのネットワーク、実質的には隠密ボットネットを構築しています。ログが無効になっており、検出するマルウェアの署名がないため、従来のセキュリティツールでは捕捉することは難しいでしょう。

過去3ヶ月間、GreyNoiseのセンサーはこのキャンペーンに関連するリクエストをわずか30件確認し、9,000以上のASUSルーターが侵害されたことを確認しました。これらのリクエストの中で、GreyNoiseのSIFTツールは人間の検査を引き起こすためにわずか3件の疑わしいHTTP POSTリクエストをフラグしました。

使用された手法の洗練さと隠密性を考えると、GreyNoiseはこのキャンペーンが十分なリソースを持ち、高度なスキルを持つ脅威アクターの仕業である可能性があると示唆しています。国家に関連している可能性もありますが、正式な帰属は行われていません。

2025年5月27日までに、Censysは、グローバルインターネット全体のインターネットに接続された資産を継続的にマッピングおよび監視するプラットフォームで、ほぼ9,000のASUSルーターが侵害されたことを確認しました。影響を受けたホストの数は増加しており、操作がどれほど静かに進行したかを考えると、実際の影響はさらに広範囲になる可能性があります。

ASUSは最近のファームウェアアップデートでCVE-2023-39780をパッチしましたが、ユーザーは既存のバックドアを手動で確認し、クリーンアップする必要があります。

推奨事項

保護を維持するために、ユーザーはASUSルーターでTCP/53282のSSHアクセスを確認し、authorized_keysファイルを疑わしいエントリのために検査し、特定された悪意のあるIP（101.99.91.151、101.99.94.173、79.141.163.179、111.90.146.237）をブロックし、侵害が疑われる場合は、完全な工場出荷時リセットを実行し、ルーターを手動で再構成することを推奨します。