Исследователи компании GreyNoise выявили масштабную кибератаку, в ходе которой более 9000 маршрутизаторов Asus были скомпрометированы новым ботнетом AyySSHush. Вредоносная кампания, обнаруженная в марте 2025 года, также затрагивает SOHO-роутеры других производителей, включая Cisco, D-Link и Linksys.
Механизм атаки и технические особенности
Операторы ботнета используют комплексный подход, сочетающий брутфорс-атаки на учетные данные, обход механизмов аутентификации и эксплуатацию известных уязвимостей. Основной вектор атаки на устройства Asus (модели RT-AC3100, RT-AC3200 и RT-AX55) реализуется через уязвимость CVE-2023-39780, позволяющую осуществлять инъекции команд.
Особенности персистентности и маскировки
Злоумышленники демонстрируют высокий уровень технической подготовки, внедряя собственный SSH-ключ и настраивая прослушивание нестандартного TCP-порта 53282. Примечательно, что данные изменения конфигурации сохраняются даже после обновления прошивки устройства, что существенно усложняет процесс удаления бэкдора.
Методы сокрытия вредоносной активности
Атаки AyySSHush отличаются высоким уровнем скрытности благодаря отказу от использования традиционного вредоносного ПО. Злоумышленники дополнительно отключают системное логирование и защитные механизмы AiProtection от Trend Micro, минимизируя риск обнаружения.
Связь с другими кампаниями и потенциальные цели
Эксперты отмечают возможную связь AyySSHush с ранее обнаруженной кампанией Vicious Trap, которая также эксплуатировала уязвимости в маршрутизаторах Asus. Предполагается, что атакующие создают масштабную сеть скомпрометированных устройств для сбора информации о новых эксплоитах и уязвимостях нулевого дня.
Рекомендации по защите
Для защиты от атак AyySSHush специалисты рекомендуют следующие меры:
— Незамедлительное обновление прошивки маршрутизатора
— Проверка наличия подозрительных файлов и SSH-ключей в authorized_keys
— Блокировка известных вредоносных IP-адресов: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237
— При обнаружении признаков компрометации — полный сброс настроек устройства с последующей реконфигурацией с использованием надежных паролей
Учитывая масштаб и сложность обнаруженной кампании, крайне важно оперативно принять меры по защите сетевого оборудования. Производитель Asus уже выпустил обновления безопасности для уязвимости CVE-2023-39780, однако их доступность зависит от конкретной модели маршрутизатора. Пользователям настоятельно рекомендуется регулярно проверять наличие обновлений и следить за рекомендациями по безопасности от производителя.