Ponad 9 tysięcy routerów ASUS zostało zainfekowanych przez nowo odkryty botnet o nazwie AyySSHush. Atak nie wykorzystuje złośliwego oprogramowania i jest wyjątkowo trudny do usunięcia. Szkodliwa konfiguracja jest w stanie przetrwać aktualizacje i restart urządzenia. Potrzebne są ręczne działania użytkownika.
Firma GreyNoise poinformowała o nowym, wyjątkowo podstępnym ataku na routery ASUSa. Botnet AyySSHush został wykryty w marcu 2025 roku, ale infekcja trwała wcześniej, niemal niezauważalnie. Co więcej, atak nie zostawia klasycznych śladów, ponieważ wykorzystuje oryginalne funkcje firmware’u. Cyberprzestępcy uzyskują pełny dostęp administracyjny i utrzymują go nawet po aktualizacji systemu.
Gamingowy internet jak z kabla? Router ASUSa to bestia pod każdym względem.
Złośliwe wykorzystanie funkcji ASUS
Atak rozpoczyna się od prób logowania i obejścia uwierzytelnienia. Następnie wykorzystywana jest znana luka CVE-2023-39780, umożliwiająca zdalne wykonywanie poleceń systemowych. Napastnicy mogą zmienić konfigurację routera bez użycia zewnętrznego malware’u. Cała operacja odbywa się za pomocą legalnych funkcji urządzenia, co utrudnia wykrycie.
ASUS NUC 15 Pro+ / fot. producenta
Złośliwe działanie polega na aktywacji SSH na niestandardowym porcie TCP 53282 i wgraniu własnego klucza publicznego. Dzięki temu cyberprzestępcy mogą wracać do urządzenia w dowolnym momencie. Kluczowym elementem ataku jest zapisanie tych zmian w pamięci NVRAM (nieulotnej). Ani restart, ani aktualizacja firmware’u nie usuwa backdoora. Dodatkowo atak wyłącza logi systemowe i ochronę AiProtection.
Według Censys, który śledzi urządzenia wystawione na internet, już ponad 9 000 routerów zostało naruszonych. GreyNoise dodaje, że ataki były precyzyjny i trudne do wykrycia. Zaledwie 30 złośliwych żądań HTTP POST wykryto przez trzy miesiące. Skanowanie przeprowadzono z użyciem emulatorów routerów z fabrycznym oprogramowaniem. Dopiero to pozwoliło zidentyfikować schemat ataku.
Co muszą zrobić użytkownicy?
ASUS wypuścił aktualizację usuwającą CVE-2023-39780 oraz łatającą część problemów z logowaniem. Niestety, jeśli urządzenie zostało wcześniej naruszone, samo zainstalowanie nowego firmware’u nie wystarczy. Konieczne są ręczne działania.
Eksperci radzą sprawdzić, czy na porcie 53282 aktywne jest SSH, przejrzeć plik „authorized_keys” i usunąć nieznane wpisy. Warto też zablokować podejrzane adresy IP i (w razie wątpliwości) przeprowadzić pełny reset do ustawień fabrycznych oraz ręczną rekonfigurację routera. Wszystkie próby nielegalnych działań warto zgłaszać do producenta.
Na stronie mogą występować linki afiliacyjne lub reklamowe.
