Більше 9 000 роутерів Asus, що працюють на Wi-Fi 6, зазнали компрометації через новий ботнет під назвою AyySSHush, який залишає бекдор у пристроях навіть після оновлення прошивки. Ця атака дає зловмисникам безперешкодний віддалений доступ до роутерів.
Фахівці з GreyNoise повідомили, що хакери зламують роутери Asus RT-AX55, застосовуючи комбінацію брутфорсу, використання відомих недоліків аутентифікації та експлойту CVE-2023-39780. Зловмисники вмикають SSH на нетиповому порту TCP/53282, додають свій відкритий ключ і вимикають ведення журналів. Цей бекдор залишається у NVRAM, отже, переживає як оновлення, так і перезавантаження пристрою. Хоча Asus уже випустила виправлення, воно не очищує вже інфіковані пристрої.
Перші ознаки підозрілих дій було зафіксовано 17 березня 2025 року. Активність корелює з діями хакерського угруповання ViciousTrap, яке було ідентифіковане компанією Sekoia 22 травня. Група здійснює атаки на мережеві пристрої по всьому світі, за винятком Китаю – ймовірно, це вказує на китайський слід. За три місяці сенсори GreyNoise зареєстрували лише 30 запитів, що свідчить про високий рівень приховування.
Експерти закликають власників роутерів Asus: негайно оновіть прошивку, перевірте роботу SSH, очистіть файл authorized_keys, а у випадку підозрілих ознак – виконайте повне скидання налаштувань. Уникайте активації функцій віддаленого керування без нагальної потреби. Ймовірно, AyySSHush – це тільки перший етап формування нового ботнету для майбутніх DDoS-атак або проксі-з’єднань.
