9,000개 이상의 ASUS 라우터가 지속적인 SSH 백도어를 통해 해킹당함

사이버 보안 회사 GreyNoise는 9,000개 이상의 인터넷에 노출된 ASUS 라우터를 성공적으로 침해한 은밀한 해킹 캠페인을 발견했습니다. .

2025년 3월 18일, GreyNoise의 독점 AI 기반 분석 도구인 SIFT에 의해 처음 감지된 이 캠페인은 연구자들이 정부 및 산업 파트너와의 협력을 통해 결과를 조정한 후 수요일에만 공개되었습니다.

공격자는 무차별 로그인 시도, 인증 우회 및 알려진 명령 주입 취약점(CVE-2023-39780)을 조합하여 Secure Shell(SSH)을 통해 조용히 지속적인 백도어를 설치했습니다.

이 캠페인이 특히 우려되는 점은 그 은폐성과 회복력입니다: 무단 접근은 재부팅 및 펌웨어 업데이트를 모두 견뎌내어 영향을 받은 장치에 대한 지속적인 제어를 제공합니다.

“ 공격자는 악성 코드를 배포하거나 명백한 흔적을 남기지 않고 인증 우회를 연결하고, 알려진 취약점을 악용하며, 합법적인 구성 기능을 남용하여 장기적인 접근을 유지합니다,”라고 GreyNoise 연구자들은 수요일 블로그 게시물에서 썼습니다.

GreyNoise 글로벌 관측 그리드에서 실행되는 완전 에뮬레이션된 ASUS 라우터 프로필과 깊은 패킷 검사를 사용하여 연구자들은 공격 체인을 재구성하고 백도어 메커니즘을 식별할 수 있었습니다.

공격 작동 방식

공격자는 무차별 로그인 시도와 문서화되지 않은 인증 우회를 통해 초기 접근을 얻습니다. 여기에는 CVE가 할당되지 않은 기술이 포함됩니다. 그런 다음 알려진 취약점인 CVE-2023-39780, 즉 명령 주입 결함을 악용하여 라우터에서 임의의 명령을 실행합니다.

합법적인 ASUS 기능을 사용하여 SSH 접근을 사용자 지정 포트(TCP/53282)에서 활성화하고 원격 접근을 위한 공격자 제어 공개 키를 삽입합니다. 백도어는 비휘발성 메모리(NVRAM)에 저장되어 재부팅 및 펌웨어 업데이트를 견딜 수 있습니다.

“이 키는 공식 ASUS 기능을 사용하여 추가되므로 이 구성 변경은 펌웨어 업그레이드 간에 지속됩니다,”라고 GreyNoise의 또 다른 관련 보고서가 자세히 설명합니다. “이전에 공격을 받았다면, 펌웨어를 업그레이드해도 SSH 백도어가 제거되지 않습니다.”

숨기기 위해 공격자는 시스템 로깅을 비활성화하고, 악성 코드를 사용하지 않으며, Trend Micro의 AiProtection을 피합니다. 이는 신중한 계획과 깊은 기술 지식을 보여줍니다.

왜 중요한가

공격자는 손상된 장치의 네트워크를 구성하고 있으며, 이는 효과적으로 미래 사이버 작전에서 무기로 사용될 수 있는 은밀한 봇넷입니다. 로깅이 비활성화되고 악성 코드 서명이 감지되지 않기 때문에 전통적인 보안 도구가 이를 잡을 가능성은 낮습니다.

지난 3개월 동안 GreyNoise 센서는 이 캠페인과 관련된 요청이 단 30건만 있었고, 9,000개 이상의 ASUS 라우터가 침해되었음을 확인했습니다. 이 요청 중 GreyNoise의 SIFT 도구는 단 3개의 의심스러운 HTTP POST 요청을 표시하여 인간 검사를 유도했습니다.

사용된 방법의 정교함과 은폐성을 고려할 때, GreyNoise는 이 캠페인이 잘 자원화된 고도로 숙련된 위협 행위자의 작업일 수 있으며, 심지어 국가와 관련이 있을 가능성도 있다고 제안하지만, 공식적인 귀속은 이루어지지 않았습니다.

2025년 5월 27일, 전 세계 인터넷에서 인터넷에 노출된 자산을 지속적으로 매핑하고 모니터링하는 플랫폼인 Censys는 거의 9,000개의 ASUS 라우터가 침해되었음을 확인했습니다. 영향을 받은 호스트의 수는 증가하고 있으며, 작전이 얼마나 조용히 진행되었는지를 고려할 때, 실제 영향은 더 넓을 수 있습니다.

ASUS는 최근 펌웨어 업데이트에서 CVE-2023-39780을 패치했지만, 사용자는 기존 백도어를 수동으로 확인하고 정리해야 합니다.

권장 사항

사용자는 보호를 유지하기 위해 ASUS 라우터에서 TCP/53282의 SSH 접근을 확인하고, 의심스러운 항목에 대해 authorized_keys 파일을 검사하며, 확인된 악성 IP(101.99.91.151, 101.99.94.173, 79.141.163.179 및 111.90.146.237)를 차단하고, 침해가 의심되는 경우 전체 공장 초기화를 수행하고 라우터를 수동으로 재구성할 것을 권장합니다.