Кампания скрытых атак на маршрутизаторы ASUS с использованием CVE-2023-39780

К маю 2025 года эксперты Censys зафиксировали около 9000 скомпрометированных маршрутизаторов ASUS. Эта массовая кампания, впервые выявленная 18 марта аналитиками GreyNoise, демонстрирует изощренные методы злоумышленников, которые обеспечивают постоянный и малозаметный контроль над устройствами пользователей.

Режим работы злоумышленников: тихая и длительная эксплуатация

Анализ активности указывает на крайне скрытный характер атаки: за три месяца злоумышленники выполнили лишь около 30 запросов к заражённым маршрутизаторам. Такой подход соответствует методологиям APT (Advanced Persistent Threat), сосредоточенным на длительном и незаметном присутствии в системе.

Используемые уязвимости и методы доступа

Для проникновения в маршрутизаторы злоумышленники применяют комплекс методов:

• атаки методом _brute force_ на учётные записи;
• обход аутентификации с использованием уязвимости CVE-2023-39780, связанной с внедрением команд и выполнением произвольных системных команд;
• включение SSH-доступа через нестандартный пользовательский порт TCP/53282;
• установку вредоносного открытого ключа для удалённого доступа;
• отключение ведения журнала (logging) для минимизации следов эксплуатации.

Особенностью атаки является сохранение бэкдора в энергонезависимой памяти (NVRAM), что обеспечивает его сохранение даже при обновлении прошивки и перезагрузке устройства.

Отсутствие традиционного вредоносного ПО и долговременная устойчивость

В отличие от классических вредоносных программ, злоумышленники не загружают дополнительное ПО, а используют _встроенные функции ASUS_ для сохранения доступа. Благодаря отключению логирования и хранению бэкдора в NVRAM, обнаружить компрометацию становится крайне сложно, что значительно осложняет защиту и расследование инцидентов.

Оценка угрозы и действия поставщика

Эксперты GreyNoise охарактеризовали атакующего как «изощрённого и хорошо обеспеченного ресурсами» хакера, что указывает на высокую организацию и подготовку этой кампании. Однако прямых доказательств причастности к конкретной группе пока нет.

Компания ASUS выпустила обновление прошивки, закрывающее уязвимость CVE-2023-39780. Тем не менее, другие методы начального доступа остаются не зафиксированными в базе CVE и не патчены, что сохраняет потенциальные риски.

Важно понимать, что если устройство было взломано до установки обновления, бэкдор сохраняется и может продолжать работу, если пользователь специально не проверит и не удалит вредоносные настройки.

Рекомендации для пользователей

В текущей ситуации особенно важно, чтобы владельцы маршрутизаторов ASUS:

• регулярно проверяли наличие обновлений прошивки и своевременно их устанавливались;
• пересматривали настройки SSH, отключая ненужный доступ и меняя порты по умолчанию;
• контролировали логи системы, если это возможно, и обращали внимание на подозрительную активность;
• приобретали устройства у надежных поставщиков и избегали использования устаревших моделей.

_Текущая ситуация подчёркивает важность системного подхода к кибербезопасности домашних и корпоративных сетей._ Своевременное обновление и тщательная конфигурация устройств защитят пользователей от долгосрочных скрытых атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.