Эксперты GreyNoise зафиксировали заражение тысяч маршрутизаторов Asus вредоносным механизмом, который сохраняет контроль над устройством даже после перезагрузки и обновлений прошивки.
GreyNoise обнаружила скрытый бэкдор в нескольких тысячах маршрутизаторов Asus, предназначенных для дома и малого бизнеса. Атаку зафиксировали в марте 2025 года, но обнародовали только после уведомления властей. По оценке исследователей, в кампании участвуют злоумышленники с серьёзными техническими возможностями, включая возможную поддержку со стороны государств.
Атакующие получают админ-доступ через уязвимости, часть которых отсутствует в базе CVE. После этого они внедряют открытый SSH-ключ — это позволяет обладателю соответствующего закрытого ключа беспрепятственно подключаться к устройству с правами администратора.
Бэкдор остаётся активным даже после перезагрузки и установки новой прошивки. Злоумышленникам не требуется загружать вредоносное ПО или сохранять доступ через цепочку уязвимостей — достаточно встроить открытый ключ в конфигурацию SSH.
GreyNoise зафиксировала примерно 9000 заражённых устройств, и их число продолжает расти. Пока нет данных о фактическом использовании маршрутизаторов в атаках. Эксперты предполагают, что хакеры накапливают ресурсы для дальнейшего применения.
Компания Sekoia ранее описала аналогичную кампанию. При помощи сканирования через платформу Censys специалисты выявили более 9500 скомпрометированных устройств Asus. Для установки бэкдора использовали несколько уязвимостей, включая CVE — 2013-39780 — она позволяла выполнять произвольные команды. Asus устранила её и другие уязвимости, но не добавила часть из них в общедоступную базу.
Как проверить, заражён ли роутер:
- Откройте настройки SSH в панели управления;
- Если активен порт 53282, а ключ начинается с ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ, устройство заражено;
- Дополнительный признак — подключения с IP-адресов: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
GreyNoise рекомендует всем владельцам маршрутизаторов регулярно обновлять прошивку и проверять настройки удалённого доступа.
