Тихая кибервойна: более 9000 роутеров Asus оказались под чужим контролем

Новая масштабная кибератака, начавшаяся весной 2025 года, поставила под угрозу безопасность тысяч пользователей по всему миру. Эксперты компании GreyNoise, занимающейся мониторингом цифровых угроз, сообщили о выявлении необычайно скрытного и технически изощрённого ботнета под названием "AyySSHush". Его целью стали маршрутизаторы компании Asus, причём атака затронула как домашних пользователей, так и небольшие офисные сети.

Анализ показал, что злоумышленники не прибегали к традиционному вредоносному ПО. Вместо этого они использовали уязвимости, связанные с процессами аутентификации, и системные функции самих роутеров. Ключевую роль в атаке сыграла дыра в безопасности, зарегистрированная под кодом CVE-2023-39780. Эта уязвимость позволяла выполнять произвольные команды на системном уровне, открывая доступ к полному управлению устройством.

GreyNoise установила, что атака начинается с подбора паролей, а затем задействуется эксплойт, позволяющий обойти стандартные механизмы входа. После этого злоумышленники активируют SSH-доступ на нестандартном порту — TCP 53282 — и записывают в системную память свой публичный SSH-ключ. Такая методика обеспечивает постоянный доступ, причём изменения сохраняются в энергонезависимой памяти устройства, что делает их устойчивыми к перезагрузке и даже перепрошивке.

Особое беспокойство вызывает тот факт, что атака не оставляет классических следов. Специализированный инструмент GreyNoise под названием "Sift" зафиксировал лишь 30 подозрительных сетевых запросов за три месяца, что говорит о высокой степени маскировки. При этом параллельный анализ, проведённый на платформе Censys, подтвердил, что в результате кампании было скомпрометировано свыше 9000 роутеров Asus по всему миру.

Представители GreyNoise подчеркнули, что организаторы атаки обладают глубокими знаниями об архитектуре устройств и специфике их работы. Подобная продуманность указывает на то, что ботнет не является спонтанной разработкой одиночных хакеров, а может быть частью более масштабной и долгосрочной стратегии.

Компания Asus отреагировала на ситуацию, выпустив обновлённую прошивку, устраняющую CVE-2023-39780 и ряд других уязвимостей. Однако в официальном комментарии производитель указал, что для уже заражённых устройств этого недостаточно. Пользователям рекомендуется вручную проверить наличие активных SSH-подключений, удалить все подозрительные ключи из системного файла authorized_keys, а затем выполнить полный сброс роутера до заводских настроек.

Эксперты подчеркивают, что инцидент с "AyySSHush" вновь доказывает: даже бытовые устройства, такие как домашние роутеры, становятся всё более уязвимыми перед лицом высокотехнологичных атак. Пользователям советуют не только устанавливать обновления безопасности, но и регулярно проверять нестандартные настройки сети, которые могут быть признаком скрытого взлома.

Атака, затронувшая тысячи устройств, развивалась медленно и практически незаметно для большинства владельцев. Однако последствия могут оказаться куда серьёзнее, если скомпрометированные роутеры будут использоваться в дальнейшем как точки входа в корпоративные сети или как инструменты масштабных DDoS-кампаний. Расследование происхождения и целей ботнета продолжается, но уже сейчас понятно: атака "AyySSHush" стала одной из самых продуманных и сложных на рынке IoT за последние годы.