Более 9000 маршрутизаторов ASUS захвачены через постоянную SSH-заднюю дверь

Компания по кибербезопасности GreyNoise обнаружила скрытую хакерскую кампанию, которая успешно скомпрометировала более 9000 маршрутизаторов ASUS, доступных в интернете .

Первый раз кампания была обнаружена 18 марта 2025 года с помощью запатентованного инструмента анализа на базе ИИ от GreyNoise, SIFT. О кампании стало известно только в среду, после того как исследователи согласовали свои выводы с государственными и промышленными партнерами.

Злоумышленники использовали комбинацию атак методом подбора паролей, обходов аутентификации и известной уязвимости для внедрения команд (CVE-2023-39780), чтобы тихо установить постоянную заднюю дверь через Secure Shell (SSH).

Что делает эту кампанию особенно тревожной, так это ее скрытность и устойчивость: несанкционированный доступ сохраняется как после перезагрузки, так и после обновлений прошивки, что дает им долговременный контроль над затронутыми устройствами.

“ Злоумышленник поддерживает долгосрочный доступ, не устанавливая вредоносное ПО и не оставляя очевидных следов, связывая обходы аутентификации, используя известную уязвимость и злоупотребляя законными функциями конфигурации,” написали исследователи GreyNoise в своем блоге в среду.

Используя полностью эмулированные профили маршрутизаторов ASUS, работающие в Глобальной наблюдательной сети GreyNoise и глубокую инспекцию пакетов, исследователи смогли восстановить цепочку атаки и идентифицировать механизм задней двери.

Как работает атака

Злоумышленники получают первоначальный доступ через атаки методом подбора паролей и не задокументированные обходы аутентификации, включая техники, не имеющие присвоенных CVE. Затем они используют известную уязвимость, CVE-2023-39780, уязвимость для внедрения команд, чтобы выполнять произвольные команды на маршрутизаторе.

Используя законные функции ASUS, они включают доступ SSH на пользовательском порту (TCP/53282) и вставляют открытый ключ, контролируемый злоумышленником, для удаленного доступа. Задняя дверь хранится в энергонезависимой памяти (NVRAM), что позволяет ей выживать как после перезагрузок, так и после обновлений прошивки.

“Поскольку этот ключ добавляется с использованием официальных функций ASUS, это изменение конфигурации сохраняется при обновлениях прошивки,” уточняется в другом связанном отчете GreyNoise. “Если вас уже скомпрометировали, обновление прошивки НЕ удалит SSH-заднюю дверь.”

Чтобы оставаться незамеченными, злоумышленники отключают системное ведение журналов, избегают использования вредоносного ПО и уклоняются от AiProtection от Trend Micro, демонстрируя тщательное планирование и глубокие технические знания.

Почему это важно

Злоумышленники собирают сеть скомпрометированных устройств — фактически скрытую бот-сеть — способную быть использованной в будущих кибератаках. С отключенным ведением журналов и отсутствием сигнатур вредоносного ПО традиционные средства безопасности вряд ли смогут это обнаружить.

За последние три месяца датчики GreyNoise зафиксировали всего 30 связанных запросов, связанных с этой кампанией, и подтвердили, что более 9000 маршрутизаторов ASUS были скомпрометированы. Из этих запросов инструмент SIFT от GreyNoise отметил всего три подозрительных HTTP POST-запроса для инициирования человеческой проверки.

Учитывая сложность и скрытность используемых методов, GreyNoise предполагает, что кампания может быть работой хорошо обеспеченного и высококвалифицированного злоумышленника, возможно, даже связанного с государством, хотя формальной атрибуции не было сделано.

К 27 мая 2025 года Censys, платформа, которая постоянно картирует и отслеживает активы, доступные в интернете, подтвердила, что почти 9000 маршрутизаторов ASUS были скомпрометированы. Количество затронутых хостов растет, и учитывая, как тихо развивалась операция, реальное воздействие может быть еще более широким.

ASUS с тех пор исправила CVE-2023-39780 в недавнем обновлении прошивки, но пользователи должны вручную проверить и очистить существующие задние двери.

Рекомендации

Чтобы оставаться защищенными, пользователям рекомендуется проверить маршрутизаторы ASUS на наличие доступа SSH на TCP/53282, проверить файл authorized_keys на наличие подозрительных записей, заблокировать идентифицированные вредоносные IP-адреса (101.99.91.151, 101.99.94.173, 79.141.163.179 и 111.90.146.237), и если есть подозрение на компрометацию, рекомендуется выполнить полное сброс на заводские настройки и вручную перенастроить маршрутизатор.