بیش از ۹ هزار روتر ساخت شرکت Asus در حملهای پیچیده و بیسروصدا به یک باتنت جدید با نام AyySSHush آلوده شدهاند. بدتر اینکه حتی آپدیتهای رسمی ایسوس قادر به حذف این بدافزار از روی روترها نیستند. ابعاد نگرانکننده ماجرا را در ادامه خبر بخوانید.
این تهدید امنیتی نخستین بار در مارس 2025 توسط شرکت GreyNoise کشف شده بود اما حالا زوایای تازهای از آن روشن شده است و میدانیم ایسوس موفق به رفع آن نشده است.
نفوذ از در پشتی
برخلاف بسیاری از حملات مشابه، در این حمله خبری از بدافزارهای معمول نیست. مهاجمان با بهرهگیری از قابلیتهای رسمی موجود در سیستمعامل روتر و با دور زدن احراز هویت، موفق به دسترسی دائمی به دستگاهها شدهاند. پس از ورود اولیه که از طریق حملات brute-force و تکنیکهای ناشناخته دور زدن احراز هویت صورت میگیرد، عاملان حمله میتوانند دستورات خود را اجرا کنند.
مهاجمان با فعالسازی قابلیت SSH روی پورت غیراستاندارد 53282 و بارگذاری کلید SSH خود، به مدیریت از راه دور روتر و تنظیمات آن دست مییابند. مهمتر آنکه این تغییرات در حافظه NVRAM روتر ایسوس ذخیره میشود و حتی آپدیت هم قادر به پاک کردن آن نیست. همچنین هکرها با خاموشکردن قابلیتهای امنیتی مانند AiProtection و لاگ رویدادها، امکان شناسایی این نفوذ را به حداقل رسانده است.
بر اساس دادههای شرکت امنیتی Censys، تا امروز بیش از ۹ هزار روتر آلوده ایسوس شناسایی شدهاند و مهاجمان بر هزاران روتر ایسوس کنترل کامل دارند.
با اینکه Asus برای رفع آسیبپذیریهای شناختهشده روترهای شبکه خود آپدیتهایی منتشر کرده، این اقدامات تنها برای پیشگیری از آلودگیهای جدید مفید هستند. متاسفانه روترهایی که پیشتر مورد حمله قرار گرفتهاند و به بدافزار آلوده شدهاند، همچنان در معرض خطر باقی میمانند و فعلاً ایسوس راهحلی برای آن ندارد.
