یک باتنت جدید با نام “AyySSHush” بیش از ۹۰۰۰ روتر ایسوس را آلوده کرده و دسترسی دائمی از طریق SSH برای مهاجمان ایجاد کرده است. این حملات همچنین شامل روترهای خانگی و اداری برندهای Cisco، D-Link و Linksys نیز میشود.
این کمپین در مارس ۲۰۲۵ توسط شرکت امنیتی GreyNoise شناسایی شد. با وجود پیچیدگی بالای این حملات که احتمال دخالت یک دولت را مطرح میکند، هنوز عامل خاصی شناسایی نشده است.
مهاجمان با استفاده از روشهایی مانند حدس زدن رمز عبور، دور زدن احراز هویت، و بهرهبرداری از آسیبپذیریهای قدیمی، به روترهایی مانند RT-AC3100، RT-AC3200 و RT-AX55 نفوذ کردهاند.
در این حمله از آسیبپذیری CVE-2023-39780 سوءاستفاده شده تا یک کلید عمومی SSH روی دستگاه قربانی ثبت و پورت 53282 برای دسترسی SSH باز شود. چون این تغییرات از طریق تنظیمات رسمی ایسوس اعمال میشوند، حتی با بروزرسانی سیستمعامل هم حذف نمیشوند.
GreyNoise هشدار میدهد:
«اگر قبلاً آلوده شدهاید، فقط بهروزرسانی سیستمعامل کافی نیست و دسترسی با درب پشتی باقی میماند.»
این حمله بدون استفاده از بدافزار انجام میشود و برای پنهانکاری بیشتر، ثبت رویدادها و ویژگی AiProtection غیرفعال میشود.
با وجود آلوده شدن هزاران دستگاه، تنها ۳۰ درخواست مشکوک توسط GreyNoise ثبت شده که همین موارد برای بررسی دقیقتر کافی بودهاند.
این فعالیتها احتمالاً با کمپینی که شرکت فرانسوی Sekoia با عنوان “Vicious Trap” گزارش داده همپوشانی دارد. در آن حملات نیز روترها، VPNها، DVRها و کنترلرهای BMC از برندهای مختلف هدف قرار گرفتهاند.
هنوز هدف نهایی این کمپین مشخص نیست، اما ممکن است مهاجمان در حال آمادهسازی یک شبکه بزرگ برای حملات آینده باشند.
توصیههای امنیتی برای کاربران ایسوس
شرکت ایسوس وصله امنیتی مربوط به CVE-2023-39780 را منتشر کرده است. اقدامات پیشنهادی:
- فوراً سیستمعامل روتر خود را بهروزرسانی کنید.
- فایل
authorized_keysرا بررسی و هر کلید SSH مشکوک را حذف کنید. - IPهای زیر را مسدود نمایید:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
در صورت شک به نفوذ، روتر را به تنظیمات کارخانه بازگردانده و با یک رمز عبور قوی دوباره پیکربندی کنید.