Sicherheitsforscher von GreyNoise haben eine schwerwiegende Bedrohung für Netzwerkgeräte aufgedeckt: Der neu entdeckte Botnet AyySSHush hat bereits mehr als 9.000 ASUS-Router kompromittiert. Die im März 2025 identifizierte Malware-Kampagne zielt nicht nur auf ASUS-Geräte ab, sondern gefährdet auch Router weiterer namhafter Hersteller wie Cisco, D-Link und Linksys.
Technische Details der Angriffsmethode
Die Angreifer nutzen eine mehrschichtige Strategie, die Brute-Force-Attacken mit der Ausnutzung bekannter Schwachstellen kombiniert. Im Zentrum steht die kritische Sicherheitslücke CVE-2023-39780, die Command-Injection-Angriffe auf verschiedene ASUS-Modelle ermöglicht, darunter RT-AC3100, RT-AC3200 und RT-AX55.
Raffinierte Verschleierungstaktiken
Die Sophistikation des AyySSHush-Botnets zeigt sich in seiner ausgefeilten Tarnung: Die Angreifer implementieren eigene SSH-Schlüssel und konfigurieren ungewöhnliche TCP-Ports (53282). Besonders besorgniserregend ist die Persistenz der Manipulation, die selbst Firmware-Updates übersteht.
Innovative Tarnungsmechanismen
Statt klassischer Malware setzt AyySSHush auf fortschrittliche Stealth-Techniken. Die Deaktivierung von System-Logging und AiProtection-Mechanismen erschwert die Erkennung erheblich. Diese Vorgehensweise deutet auf hochprofessionelle Akteure hin.
Verbindungen zu früheren Angriffen
Analysten haben Parallelen zur Vicious Trap-Kampagne identifiziert, die ähnliche Angriffsmuster aufwies. Es wird vermutet, dass die Akteure eine großflächige Infrastruktur für die Identifikation neuer Zero-Day-Exploits aufbauen.
Effektive Schutzmaßnahmen implementieren
Zur Absicherung gegen AyySSHush empfehlen Sicherheitsexperten folgende Schritte:
– Sofortiges Update der Router-Firmware
– Überprüfung auf unauthorized SSH-Keys
– Blockierung bekannter maligner IPs: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237
– Bei Kompromittierung: Vollständiges Zurücksetzen des Geräts mit anschließender Neukonfiguration
Die aktuelle Bedrohungslage erfordert unmittelbares Handeln seitens der Netzwerkadministratoren und privaten Anwender. ASUS hat bereits Sicherheitsupdates für die Schwachstelle CVE-2023-39780 bereitgestellt. Regelmäßige Überprüfungen auf Firmware-Updates und die strikte Befolgung von Sicherheitsrichtlinien sind essentiell, um die Integrität der Netzwerkinfrastruktur zu gewährleisten.