Milhares de routers da ASUS encontram-se comprometidos por uma nova e sofisticada botnet, batizada de "AyySSHush". Esta ameaça foi também observada a visar routers SOHO (Small Office/Home Office) de outras marcas conhecidas como Cisco, D-Link e Linksys, representando um risco de segurança alargado.
Ameaça AyySSHush: Mais de 9.000 routers ASUS na mira
A campanha maliciosa foi identificada em meados de março de 2025 por investigadores de segurança da GreyNoise. Embora não tenha sido feita uma atribuição concreta, a empresa de monitorização de ameaças refere que a operação exibe características típicas de um agente estatal. Os ataques combinam técnicas de força bruta para adivinhar credenciais de login, contorno de autenticação e a exploração de vulnerabilidades mais antigas para conseguir o acesso aos routers da ASUS, afetando modelos como o RT-AC3100, RT-AC3200 e RT-AX55.
O método de infeção: Como o AyySSHush se instala e persiste
De forma específica, os atacantes exploram uma falha antiga de injeção de comando, registada como CVE-2023-39780. Através desta vulnerabilidade, conseguem adicionar a sua própria chave pública SSH e configurar o serviço SSH para escutar numa porta TCP não convencional, a 53282. Estas alterações permitem que os cibercriminosos mantenham um acesso backdoor ao dispositivo, que sobrevive mesmo a reinícios e atualizações de firmware.
"Como esta chave é adicionada usando as funcionalidades oficiais da ASUS, esta alteração de configuração persiste através de atualizações de firmware," explica outro relatório relacionado da GreyNoise. "Se foi explorado anteriormente, atualizar o seu firmware NÃO removerá o backdoor SSH."
Um ataque discreto mas eficaz
O ataque distingue-se pela sua furtividade, não envolvendo a instalação de qualquer malware. Para além disso, os atacantes desativam os registos de atividade (logs) e a funcionalidade AiProtection da Trend Micro presente nos routers, de forma a evitar a deteção. A GreyNoise reporta ter registado apenas 30 pedidos maliciosos associados a esta campanha nos últimos três meses, um número baixo considerando que já infetou mais de 9.000 routers ASUS. No entanto, apenas três desses pedidos foram suficientes para que a ferramenta de análise baseada em inteligência artificial da GreyNoise os sinalizasse para inspeção humana.
Objetivos ainda incertos e possíveis ligações
Esta campanha parece sobrepor-se à atividade que a empresa de cibersegurança francesa Sekoia designa como "Vicious Trap", divulgada na semana passada. Contudo, a Sekoia reportou que, no caso observado por si, os atacantes exploraram a vulnerabilidade CVE-2021-32030 para violar routers ASUS. Na campanha analisada pela Sekoia, os atacantes visaram routers SOHO, VPNs SSL, DVRs e controladores BMC de marcas como D-Link, Linksys, QNAP e Araknis Networks.
O objetivo operacional exato da AyySSHush permanece uma incógnita, não havendo sinais de utilização dos dispositivos para ataques de negação de serviço distribuído (DDoS) ou como proxies para tráfego malicioso. No entanto, nas intrusões em routers observadas pela Sekoia, foi descarregado e executado um script malicioso para redirecionar o tráfego de rede do sistema comprometido para dispositivos de terceiros controlados pelo atacante. Atualmente, tudo indica que a campanha está a construir discretamente uma rede de routers com backdoor, preparando o terreno para uma futura botnet.
Como pode proteger o seu router ASUS
A ASUS já lançou atualizações de segurança que corrigem a vulnerabilidade CVE-2023-39780 para os routers afetados, embora a disponibilidade exata possa variar conforme o modelo.
Recomenda-se vivamente que os utilizadores:
- Atualizem o firmware do seu router para a versão mais recente assim que possível.
- Verifiquem a existência de ficheiros suspeitos e a adição da chave SSH do atacante (Indicadores de Compromisso podem ser consultados aqui) no ficheiro 'authorized_keys'.
Caso suspeite que o seu router foi comprometido, é aconselhável realizar um reset de fábrica para limpar completamente o dispositivo. Após o reset, reconfigure o router de raiz utilizando uma palavra-passe forte e única.
Nenhum comentário
Seja o primeiro!