Ботнет взломал 9000+ роутеров ASUS через уязвимость SSH
Более 9000 роутеров ASUS оказались скомпрометированы новым ботнетом под названием AyySSHush. Атаки также затронули устройства Cisco, D-Link и Linksys. Исследователи GreyNoise обнаружили кампанию в марте 2025 года, отметив признаки работы государственного хакерского объединения, хотя точная атрибуция отсутствует.
Злоумышленники используют брутфорс, обход аутентификации и эксплуатацию уязвимостей, включая CVE-2023-39780. Уязвимость позволяет добавить SSH-ключ злоумышленника и перенастроить демон SSH на нестандартный порт 53282. Изменения сохраняются даже после перезагрузки и обновления прошивки.
Особенности атаки:
- Отсутствие вредоносного ПО
- Отключение логирования и Trend Micro AiProtection
- Минимальная активность в сети (всего 30 запросов за три месяца)
Что делать
ASUS выпустила обновления для уязвимых моделей, включая RT-AC3100, RT-AC3200 и RT-AX55. Рекомендации:
- Установить последнюю версию прошивки
- Проверить файл authorized_keys на наличие чужеродных ключей
- Добавить в черный список IP-адреса злоумышленников: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
- При подозрении на компрометацию — выполнить сброс к заводским настройкам
Исследователи предполагают, что атака может быть связана с кампанией Vicious Trap, где злоумышленники использовали CVE-2021-32030 для взлома роутеров. Пока неясно, для чего именно используется ботнет, но возможны сценарии с прокси-трафиком или подготовкой к более масштабным атакам.
