Egy új és különösen alattomos kiberfenyegetés ütötte fel a fejét, amely elsősorban az Asus vezeték nélküli útválasztóit, közismertebb nevén routereit célozza. Az AyySSHush névre keresztelt botnet csendben terjed, és a kiberbiztonsági szakértők szerint komoly veszélyt jelenthet a felhasználókra nézve. Bár a támadások fókuszában az Asus eszközei állnak, kisebb mértékben más gyártók, így a Cisco, a D-Link és a Linksys egyes termékei is érintettek lehetnek. A helyzetet súlyosbítja, hogy a támadók módszerei rendkívül kifinomultak, és céljuk egy kiterjedt, távolról irányítható eszközhálózat kiépítése.
A fenyegetésre a GreyNoise kiberbiztonsági kutatócsoport hívta fel a figyelmet még március derekán. Elemzésük szerint a támadássorozat mögött egy „rosszindulatú nemzetállami szereplő” tevékenysége sejthető, bár konkrétabb információkat egyelőre nem osztottak meg a nyilvánossággal. Ez a feltételezés arra utal, hogy a kampány hátterében komoly erőforrásokkal és szaktudással rendelkező entitás állhat, ami tovább növeli a kockázatokat. A kutatók folyamatosan figyelik a botnet terjedését és próbálják feltérképezni annak teljes méretét és képességeit.
A támadók többféle technikát alkalmaznak a routerek feletti irányítás megszerzésére. Az egyik ilyen módszer a brute-force támadás, amely során automatizált szoftverek próbálják meg kitalálni a routerek adminisztrációs felületének belépési adatait, végigzongorázva a lehetséges felhasználónév-jelszó párosítások millióit, elképesztő sebességgel. Ezt egészítik ki ismert sebezhetőségek kihasználásával. Az Asus routerek esetében különösen egy korábban már azonosított, CVE-2023-39780 kóddal jelölt biztonsági rést használnak ki.
Asus
Ennek a specifikus sebezhetőségnek a kiaknázásával a támadók képesek egy állandó hátsó kaput (backdoor) létrehozni az eszközön. Ez a hátsó kapu rendkívül veszélyes, mivel lehetővé teszi a támadók számára, hogy később is hozzáférjenek a megfertőzött routerhez, még akkor is, ha az eszközt újraindítják, vagy akár a firmware-t (az eszköz alapszoftverét) frissítik. Ez a perzisztencia azt jelenti, hogy a kezdeti behatolás után a támadók hosszú távon is képesek lehetnek irányítani az eszközt, adatokat lopni vagy további támadásokat indítani a hálózatról.
Az AyySSHush kampány által leginkább veszélyeztetett Asus router modellek közé tartozik az RT-AC3100, az RT-AC3200 és az RT-AX55. Fontos kiemelni, hogy ezek a típusok Magyarországon is forgalomban vannak, sőt, az RT-AX55 például egy kifejezetten népszerű modellnek számít a hazai felhasználók körében, köszönhetően kedvező ár-érték arányának és modern Wi-Fi 6 technológiájának. Ezért a magyarországi felhasználóknak különösen ébernek kell lenniük.
A támadás egyik legaggasztóbb jellemzője a lopakodó természete. A rosszindulatú szoftver nem tartalmaz hagyományos értelemben vett kártevőt, ami megnehezíti a vírusirtó programok számára a detektálást. Ezen felül a támadók aktívan törekednek arra, hogy elrejtsék tevékenységük nyomait: leállítják a router naplózási funkcióit, és kikapcsolják a beépített védelmi mechanizmusokat. Ez a rejtőzködő magatartás lehetővé teszi, hogy a fertőzés hosszú ideig észrevétlen maradjon.
A GreyNoise kutatói eddig körülbelül 30 különböző rosszindulatú kérést azonosítottak, amelyek egyértelműen ehhez a kampányhoz köthetők. Azonban a becslések szerint már több mint 9000 eszköz került a támadók irányítása alá, és áll készenlétben egy esetleges összehangolt támadás végrehajtására. Jelenleg úgy tűnik, hogy a támadók fő célja a fertőzött eszközök hálózatának, vagyis a botnetnek a további kiépítése és kiterjesztése. Hogy pontosan milyen típusú támadásokra fogják felhasználni ezt a hálózatot a jövőben, az egyelőre nem ismert, de a lehetőségek széles skálán mozognak, az elosztott szolgáltatásmegtagadási (DDoS) támadásoktól kezdve a spamküldésen át egészen a további kártékony programok terjesztéséig.
A legfontosabb lépés a védekezés érdekében a router firmware-frissítésének haladéktalan telepítése. Az Asus már kiadott javítást a CVE-2023-39780 sebezhetőségre, ezért minden érintett felhasználónak javasolt ellenőrizni a router webes beállító felületén vagy a dedikált mobilalkalmazáson keresztül az elérhető frissítéseket, és telepíteni azokat. Emellett elengedhetetlenül fontos erős, egyedi jelszót használni a router adminisztrációs felületéhez, és lehetőség szerint letiltani a távoli hozzáférést, ha arra nincs feltétlenül szükség.
Amennyiben a felhasználó bármilyen gyanús tevékenységet észlel a hálózatán, vagy felmerül a gyanú, hogy routere megfertőződhetett, és a firmware frissítése sem oldja meg a problémát, az egyetlen biztos megoldás az eszköz teljes gyári visszaállítása. Ez a folyamat minden beállítást és potenciálisan kártékony szoftvermaradványt eltávolít az eszközről. A visszaállítás után újra be kell állítani a hálózatot, és természetesen azonnal frissíteni kell a firmware-t a legújabb verzióra, mielőtt bármilyen más eszközt csatlakoztatnánk hozzá. A felhasználóknak érdemes rendszeresen ellenőrizniük routerük biztonsági beállításait és a gyártó által kiadott közleményeket az esetleges újabb fenyegetésekről.
