This post is also available in:
English (אנגלית)
קמפיין סייבר מתוחכם מתמקד בנתבי Asus WiFi 6, ומשאיר דלתות אחוריות שוהות שנשארות גם לאחר עדכוני קושחה. חוקרי אבטחה זיהו את האיום כפעולת בוטנט חשאית הידועה בשם AySSHush, אשר כבר התפשטה על כמעט 9,000 מכשירים ברחבי העולם.
ההתקפה מנצלת חולשה ידועה של הזרקת פקודות (CVE-2023-39780) בנתב ASUS RT-AX55. ההאקרים משתמשים בשילוב של ניסיונות ברוט פורס וחולשות מוכרות כדי לעקוף את האימות ולקבל גישה. ברגע שהם נכנסים, הם מפעיליםSecure Shell (SSH) בפורט מותאם אישית (TCP/53282) ומכניסים את המפתחות הציבוריים שלהם, מה שמעניק להם שליטה מרחוק על המכשיר.
מה שהופך את הקמפיין הזה למסוכן במיוחד הוא האופן שבו התוקפים שומרים על גישה לטווח ארוך. במקום לפרוס תוכנות זדוניות מסורתיות, הם מנצלים תכונות נתב מובנות כדי להשתלט בשקט. התצורה הזדונית מאוחסנת בזיכרון לא נדיף (NVRAM), אשר שורד עדכוני קושחה ומאתחל מחדש את המערכת.
ASUS הוציאה עדכון קושחה כדי לטפל בחולשה. עם זאת, אם הנתב נפרץ לפני עדכון, הדלת האחורית נשארת פעילה. הגישה מרחוק נמשכת, אלא אם כן המשתמשים בודקים ומסירים ידנית את הקונפיגורציה של התוקף.
המבצע המתמשכת סומן על ידי Greynoise, פלטפורמת מודיעין איומים, המזהירה כי התוקפים ככל הנראה מניחים את היסודות לבוטנט גדול יותר. שימושים אפשריים כוללים פרוקסי להתקפות סייבר עתידיות או השקת קמפייני DDoS. דפוס ההתקפה מראה רמה גבוהה של ידע טכני, עם תעבורת רשת מינימלית שנצפתה – רק 30 בקשות קשורות נראו במשך שלושה חודשים, מה שמסייע לתוקפים לא לעורר חשד.
כדי להגן מפני איום זה, Greynoise מייעצת למשתמשים:
- להתקין את עדכוני הקושחה האחרונים.
- לבדוק גישה לא מורשית ל-SSH ב-TCP/53282.
- לבדוק את קובץ ה-authorized_keys לאיתור רשומות חשודות.
- להשבית תכונות ניהול מרחוק, אלא אם כן הדבר הכרחי לחלוטין.
- לבצע פרמוט מלא אם יש חשד לפריצה.
ככל שתקיפות נתבים הופכות מתקדמות יותר, התקנים אלה – שלעתים קרובות מתעלמים מהם באבטחה ביתית וארגונית – הפכו למטרות עיקריות לניצול לטווח ארוך.
