Роутери Asus під загрозою прихованих атак через бекдори

Дослідники з безпеки виявили масштабну, приховану кампанію з використанням бекдору, яка націлена на домашні та малі офісні маршрутизатори Asus. Цю операцію, відому під кодовою назвою ViciousTrap, характеризує впровадження SSH-ключа, що надає адміністративний доступ, зберігається під час оновлень прошивки та перезавантажень, і, ймовірно, пов’язана з добре забезпеченим загрозливим актором — найімовірніше, державою.

Огляд кампанії ViciousTrap

Кампанію вперше виявили фахівці GreyNoise у середині березня 2025 року. Вона використовує численні вразливості — деякі з них навіть не мають присвоєних CVE-ідентифікаторів — для установки публічного SSH-ключа на скомпрометованих пристроях. GreyNoise зафіксував понад 12,000 інфікованих одиниць по всьому світу, що є зростанням з приблизно 9,000 у травні. Дані з мережевих сканувань від Censys та Sekoia підтверджують ці цифри.

Механізм атаки та технічний аналіз

1. Початкова експлуатація: Зловмисники об’єднують обходи автентифікації з такими вразливостями, як CVE-2023-39780 (впровадження команд) та принаймні двома іншими невідстеженими недоліками в прошивці ASUSWRT. Ці вразливості дозволяють віддаленим зловмисникам підвищувати привілеї до рівня root.
2. Впровадження SSH-ключа: Після отримання доступу до root, до /etc/dropbear/authorized_keys або /etc/ssh/ssh_config додається спеціально підібраний RSA публічний ключ, що дозволяє використовувати SSH на порту 53282 без зміни видимих для користувача сервісів.
3. Механізми збереження: Спеціальні скрипти оболонки інтегруються в процес завантаження та рутину оновлення прошивки. Під час оновлення скрипт повторно впроваджує SSH-ключ, модифікуючи новий образ прошивки в оперативній пам’яті перед записом.

Цей підхід уникає запису традиційних шкідливих бінарних файлів на флеш-пам’ять, що ускладнює судову експертизу та зменшує знос чіпів NOR/NAND.

Стійкість і збереження: пояснення відновлення прошивки

Стійкість бекдору базується на зловживанні легітимними функціями ASUSWRT. Використовуючи вбудовані модулі автоматичного відновлення та зміни конфігурації, зловмисник забезпечує, що навіть після офіційного оновлення прошивки або скидання до заводських налаштувань, шкідливий скрипт запускається на ранньому етапі ініціалізації. GreyNoise провів реверс-інжиніринг патчу зловмисника, виявивши двоступеневий завантажувач, який модифікує initramfs в пам’яті та відновлює несанкціонований SSH-ключ безпосередньо після запуску ядра.

Глобальний вплив та останні показники виявлення

• Країни з найбільшими втратами: Бразилія, Індія, США, В’єтнам, Росія.
• Найбільш уражені моделі: DSL-AC88U, RT-AC68U, RT-AX58U та інші сучасні маршрутизатори Wi-Fi 6.
• Швидкість зростання інфекцій: приблизно 500 пристроїв на тиждень з березня 2025 року.

Не було виявлено жодних шкідливих вантажів окрім SSH-ключа, що свідчить про підготовчі етапи для створення більшого ботнету або цілеспрямованої шпигунської діяльності.

Стратегії пом’якшення та найкращі практики

1. Оновлення прошивки: Негайно застосуйте останні оновлення ASUSWRT з офіційного сайту або системи автоматичного оновлення.
2. Аудит налаштувань SSH: У графічному інтерфейсі маршрутизатора перевірте, що активовано лише порти 22 або 2222 для SSH, і видаліть будь-які невідомі публічні ключі.
3. Перегляд журналів: Перевірте system.log на наявність з’єднань з відомими шкідливими IP-адресами (наприклад, 101.99.91.151, 111.90.146.237).
4. Впровадження сегментації мережі: Розмістіть IoT-пристрої та не критичні пристрої на окремих VLAN, щоб обмежити бічний рух.

Для підприємств та просунутих користувачів домашніх мереж заміна споживчих маршрутизаторів на маршрутизатори з відкритим програмним забезпеченням (наприклад, OpenWRT) та підключення пристроїв до платформ моніторингу мережі можуть ще більше знизити ризики.

Коментарі експертів та прогноз на майбутнє

Доктор Олена Мартінес, старший науковий співробітник CyberGuard Labs, зазначає: “Ця кампанія сигналізує про перехід до стійкості в стилі ланцюга постачання. Ми очікуємо подібні техніки в інших провідних брендах маршрутизаторів.”

Кевін О’Лірі, керівник відділу мережевої безпеки SecureNet, додає: “Державні актори інвестують значні ресурси в імплантацію на рівні прошивки. Виявлення вимагатиме перевірки цілісності прошивки та принципів нульового довіри в мережі.”

Оскільки кількість IoT-пристроїв зростає, а підтримка старих моделей маршрутизаторів зменшується, користувачі повинні залишатися пильними та впроваджувати надійні заходи безпеки. Операція ViciousTrap може стати попередженням про майбутні масштабні атаки на прошивку споживчого обладнання.