Serangan siber yang canggih telah menjejaskan lebih daripada 9,000 router Asus di seluruh dunia, dengan penyelidik keselamatan memberi amaran bahawa kempen ini nampaknya sedang menyediakan asas untuk operasi botnet berskala besar pada masa hadapan. Serangan yang digelar AyySSHush ini merupakan peningkatan yang membimbangkan dalam ancaman yang menyasarkan peralatan rangkaian pengguna.
Garis Masa dan Skala Serangan
- Serangan ditemui: 18 Mac 2025
- Pendedahan awam: Mei 2025
- Peranti terjejas: Lebih 9,500 penghala Asus (dan terus bertambah)
- Permintaan hasad yang diperhatikan: Hanya 30 dalam tempoh 3 bulan
Kaedah Serangan Termaju Menyasarkan Kelemahan Router
Penjenayah siber di sebalik kempen ini menggunakan pelbagai teknik canggih untuk mendapat akses tanpa kebenaran kepada router Asus . Mereka menggunakan serangan log masuk brute-force yang digabungkan dengan dua kaedah pintasan pengesahan yang berbeza, sambil turut mengeksploitasi kelemahan yang tidak diketahui sebelum ini yang belum menerima penetapan CVE rasmi. Setelah berjaya memasuki sistem, penyerang memanfaatkan kelemahan keselamatan yang dikenali sebagai CVE-2023-39780 untuk melaksanakan arahan sistem sewenang-wenangnya dan mewujudkan akses yang berterusan.
Butiran Teknikal
- Kelemahan utama: CVE-2023-39780 (kelemahan suntikan arahan)
- Lokasi pintu belakang: Memori tidak mudah hilang ( NVRAM )
- Port capaian SSH : TCP/53282
- Alamat IP berniat jahat untuk disekat: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
Pintu Belakang Berterusan Bertahan Selepas Kemas Kini Firmware
Apa yang menjadikan serangan ini amat membimbangkan ialah penggunaan memori tidak mudah hilang (NVRAM) oleh penyerang untuk menyimpan pintu belakang mereka. Penempatan strategik ini bermakna titik akses berniat jahat kekal utuh walaupun selepas pengguna but semula router mereka atau mengemas kini firmware. Para penjenayah juga melumpuhkan fungsi log untuk menutup jejak mereka, menunjukkan tahap kesedaran keselamatan operasi yang tinggi yang dikaitkan oleh firma keselamatan GreyNoise dengan pelaku ancaman berterusan termaju (APT).
 |
|---|
| Penghala Asus , serupa dengan yang terjejas dalam serangan siber baru-baru ini, menyerlahkan kelemahan dalam peranti rangkaian pengguna |
Operasi Senyap Mencadangkan Penglibatan Negara-Bangsa
Walaupun bilangan peranti yang terjejas adalah besar, penyelidik hanya memerhati 30 permintaan akses berkaitan dalam tempoh tiga bulan, menunjukkan kempen ini berjalan dengan perlahan dan berhati-hati. Analisis GreyNoise mencadangkan pendekatan berhati-hati ini konsisten dengan pelaku negara-bangsa atau kumpulan yang bekerja bagi pihak kerajaan yang bermusuhan. Firma keselamatan itu sengaja menunggu dari Mac hingga Mei untuk mendedahkan penemuan mereka secara terbuka, memberi masa untuk berunding dengan rakan kongsi kerajaan dan industri mengenai implikasinya.
Ancaman yang Semakin Meningkat kepada Infrastruktur Rangkaian Pengguna
Serangan ini menyerlahkan trend peningkatan penjenayah siber yang menyasarkan peralatan rangkaian rumah dan perniagaan kecil. John Bambenek , presiden Bambenek Consulting , menyatakan bahawa penyerang canggih semakin menumpukan perhatian kepada peranti ini untuk tujuan yang melampaui operasi perlombongan kripto mudah. Walaupun pengguna rumah menghadapi risiko langsung yang minimum, router mereka yang terjejas menjadi peserta yang tidak sedar dalam serangan terhadap sasaran lain, berpotensi menyebabkan cabaran keselamatan yang meningkat semasa penggunaan internet rutin.
Asus Bertindak Balas dengan Tampung dan Panduan Pengguna
Asus telah mengeluarkan panduan komprehensif untuk pengguna yang terjejas, mengesahkan bahawa kelemahan CVE-2023-39780 telah ditampal dalam kemas kini firmware terkini. Syarikat itu menghantar pemberitahuan tolak kepada pengguna yang berkenaan dan mengemas kini sumber nasihat keselamatan mereka. Walau bagaimanapun, untuk router yang sudah terjejas, Asus mengesyorkan proses pemulihan berbilang langkah termasuk melumpuhkan akses SSH , menyekat alamat IP berniat jahat tertentu, dan melakukan tetapan semula kilang diikuti dengan konfigurasi semula manual.
Langkah Pemulihan untuk Penghala Yang Terjejas
- Kemas kini perisian tegar kepada versi terkini
- Lakukan tetapan semula kilang
- Lumpuhkan kemasukan SSH atau buang kunci SSH berniat jahat
- Sekat alamat IP berniat jahat yang dikenal pasti
- Tetapkan kata laluan pentadbir yang kuat
- Lumpuhkan ciri akses jauh ( SSH , DDNS , AiCloud , Akses Web dari WAN )
Langkah Pengesanan dan Pencegahan
Pengguna boleh memeriksa sama ada router mereka telah terjejas dengan meneliti tetapan SSH peranti mereka untuk akses tanpa kebenaran yang dikonfigurasikan pada port 53282. Konfigurasi berniat jahat termasuk kunci awam SSH terpotong khusus yang bermula dengan ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ. Pakar keselamatan mengesyorkan melumpuhkan semua ciri akses jauh termasuk SSH , DDNS , AiCloud , dan Web Access from WAN sebagai langkah pencegahan, menyatakan bahawa kebanyakan pengguna jarang memerlukan antara muka pentadbiran ini didayakan.