Το AyySSHush Botnet χάκαρε 9.000+ δρομολογητές ASUS

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

Το AyySSHush Botnet χάκαρε 9.000+ δρομολογητές ASUS
https://www.secnews.gr/649637/ayysshush-botnet-xakare-9000-dromologites-asus/
May 29th 2025, 13:50
by Absenta Mia

Πάνω από 9.000 δρομολογητές ASUS έχουν παραβιαστεί από ένα νέο botnet με την ονομασία "AyySSHush", το οποίο παρατηρήθηκε επίσης να στοχεύει οικιακούς δρομολογητές (SOHO) από τις εταιρείες Cisco, D-Link και Linksys.
Δείτε επίσης: Το PumaBot botnet αναγκάζει διαπιστευτήρια SSH να παραβιάζουν συσκευές


Η κακόβουλη αυτή καμπάνια εντοπίστηκε από τους ερευνητές ασφαλείας της GreyNoise στα μέσα Μαρτίου 2025. Σύμφωνα με την αναφορά τους, φέρει χαρακτηριστικά που συνδέονται συνήθως με κρατικούς παράγοντες απειλής, αν και δεν έγινε κάποια επίσημη απόδοση ευθύνης.
Η εταιρεία παρακολούθησης απειλών αναφέρει ότι οι επιθέσεις συνδυάζουν τεχνικές όπως brute-force επιθέσεις σε διαπιστευτήρια σύνδεσης, παράκαμψη μηχανισμών αυθεντικοποίησης και εκμετάλλευση παλαιότερων ευπαθειών για την παραβίαση των δρομολογητών ASUS, συμπεριλαμβανομένων των μοντέλων RT-AC3100, RT-AC3200 και RT-AX55. Συγκεκριμένα, οι επιτιθέμενοι εκμεταλλεύονται ένα παλιό κενό ασφαλείας (command injection), το CVE-2023-39780, για να προσθέσουν το δικό τους δημόσιο κλειδί SSH και να ενεργοποιήσουν τον SSH daemon ώστε να ακούει στη μη τυπική θύρα TCP 53282. Αυτές οι τροποποιήσεις επιτρέπουν στους επιτιθέμενους να διατηρούν backdoor πρόσβαση στη συσκευή, ακόμα και μετά από επανεκκινήσεις ή ενημερώσεις του υλικολογισμικού.
Η επίθεση είναι ιδιαίτερα διακριτική, καθώς δεν περιλαμβάνει χρήση κακόβουλου λογισμικού, ενώ οι επιτιθέμενοι απενεργοποιούν τόσο την καταγραφή συμβάντων (logging) όσο και τη λειτουργία AiProtection της Trend Micro, προκειμένου να αποφύγουν τον εντοπισμό.
Ενδεικτικά, η GreyNoise αναφέρει ότι κατέγραψε μόλις 30 κακόβουλα αιτήματα που σχετίζονται με αυτή την καμπάνια AyySSHush Botnet κατά τη διάρκεια των τελευταίων τριών μηνών, παρόλο που έχουν μολυνθεί 9.000 δρομολογητές ASUS. Ωστόσο, μόνο τρία από αυτά τα αιτήματα ήταν αρκετά για να ενεργοποιήσουν το εργαλείο ανάλυσης με τεχνητή νοημοσύνη της GreyNoise, το οποίο τα επισημοποίησε για περαιτέρω ανθρώπινη διερεύνηση.
Δείτε ακόμα: Η λειτουργία του DanaBot Botnet διακόπηκε, βρέθηκαν 16 ύποπτοι
Η εν λόγω καμπάνια φαίνεται να σχετίζεται με τη δραστηριότητα που παρακολουθεί η Sekoia και φέρει την ονομασία "Vicious Trap", η οποία αποκαλύφθηκε την περασμένη εβδομάδα. Η γαλλική εταιρεία κυβερνοασφάλειας ανέφερε ότι οι κυβερνοεγκληματίες εκμεταλλεύονται την ευπάθεια CVE-2021-32030 για να παραβιάσουν δρομολογητές ASUS.


Στην καμπάνια που παρατηρήθηκε από τη Sekoia, οι επιτιθέμενοι φέρονται να στοχεύουν δρομολογητές SOHO, SSL VPNs, συσκευές καταγραφής βίντεο (DVRs) και ελεγκτές BMC από τις εταιρείες D-Link, Linksys, QNAP και Araknis Networks.
Ο ακριβής επιχειρησιακός στόχος του AyySSHush botnet παραμένει ασαφής, καθώς δεν υπάρχουν ενδείξεις για επιθέσεις άρνησης παροχής υπηρεσίας (DDoS) ή για χρήση των συσκευών ως μεσολαβητές (proxies) για τη διοχέτευση κακόβουλης κίνησης μέσω των δρομολογητών ASUS.
Ωστόσο, στις παραβιάσεις δρομολογητών που καταγράφηκαν από τη Sekoia, παρατηρήθηκε η λήψη και εκτέλεση ενός κακόβουλου σεναρίου (script), το οποίο ανακατευθύνει την κυκλοφορία του δικτύου από το παραβιασμένο σύστημα προς συσκευές τρίτων που ελέγχονται από τον επιτιθέμενο.
Προς το παρόν, φαίνεται ότι η καμπάνια χτίζει σιωπηλά ένα δίκτυο δρομολογητών με εγκατεστημένα backdoor, προετοιμάζοντας το έδαφος για τη δημιουργία ενός μελλοντικού botnet.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Η δημιουργία ενός "σιωπηλού" botnet, όπως φαίνεται να συμβαίνει εδώ, μπορεί να αποτελέσει το πρώτο στάδιο για μελλοντικές συντονισμένες επιθέσεις μεγάλης κλίμακας, όπως μαζικά DDoS, επιθέσεις σε υποδομές cloud ή ακόμα και στοχευμένη κατασκοπεία. Το γεγονός ότι δεν παρατηρείται άμεσα κακόβουλη χρήση της υποδομής, είναι συχνά ενδεικτικό στρατηγικής προσέγγισης από πιο εξελιγμένους και πιθανόν κρατικά υποστηριζόμενους φορείς.
Πηγή: bleepingcomputer



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz