เราเตอร์ Asus กว่า 9,000 เครื่องถูกโจมตีด้วยบอทเน็ตที่ซับซ้อนโดยใช้แบ็คดอร์ที่ซ่อนอยู่

การโจมตีทางไซเบอร์ที่ซับซ้อนได้บุกรุกเราเตอร์ Asus มากกว่า 9,000 เครื่องทั่วโลก โดยนักวิจัยด้านความปลอดภัยเตือนว่าแคมเปญนี้ดูเหมือนจะเป็นการวางรากฐานสำหรับการดำเนินการบอทเน็ตขนาดใหญ่ในอนาคต การโจมตีที่ได้รับการขนานนามว่า AyySSHush นี้แสดงให้เห็นถึงการเพิ่มขึ้นอย่างน่าวิตกของภัยคุกคามที่มุ่งเป้าไปยังอุปกรณ์เครือข่ายสำหรับผู้บริโภค

ไทม์ไลน์และขนาดของการโจมตี

• การค้นพบการโจมตี: 18 มีนาคม 2025
• การเปิดเผยต่อสาธารณะ: พฤษภาคม 2025
• อุปกรณ์ที่ได้รับผลกระทบ: เราเตอร์ Asus กว่า 9,500 เครื่อง (และยังเพิ่มขึ้นเรื่อยๆ)
• คำขอที่เป็นอันตรายที่สังเกตได้: เพียง 30 ครั้งในระยะเวลา 3 เดือน

วิธีการโจมตีขั้นสูงที่มุ่งเป้าไปยังช่องโหว่ของเราเตอร์

อาชญากรไซเบอร์เบื้องหลังแคมเปญนี้ใช้เทคนิคที่ซับซ้อนหลายอย่างเพื่อเข้าถึงเราเตอร์ Asus โดยไม่ได้รับอนุญาต พวกเขาใช้การโจมตีแบบ brute-force login ร่วมกับวิธีการหลีกเลี่ยงการยืนยันตัวตนสองแบบที่แตกต่างกัน ขณะเดียวกันก็ใช้ประโยชน์จากช่องโหว่ที่ไม่เคยมีการเปิดเผยมาก่อนซึ่งยังไม่ได้รับการกำหนด CVE อย่างเป็นทางการ เมื่อเข้าสู่ระบบได้แล้ว ผู้โจมตีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ทราบแล้วซึ่งระบุเป็น CVE-2023-39780 เพื่อดำเนินการคำสั่งระบบตามอำเภอใจและสร้างการเข้าถึงที่ยั่งยืน

รายละเอียดทางเทคนิค

• ช่องโหว่หลัก: CVE-2023-39780 (ช่องโหว่การฉีด command)
• ตำแหน่ง backdoor: หน่วยความจำแบบไม่ลบเลือน (NVRAM)
• พอร์ตการเข้าถึง SSH: TCP/53282
• ที่อยู่ IP ที่เป็นอันตรายที่ควรบล็อก: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237

แบ็คดอร์ที่คงอยู่แม้หลังจากอัปเดตเฟิร์มแวร์

สิ่งที่ทำให้การโจมตีนี้น่าวิตกเป็นพิเศษคือการใช้หน่วยความจำแบบไม่ลบเลือน (NVRAM) ของผู้โจมตีในการเก็บแบ็คดอร์ของพวกเขา การวางตำแหน่งเชิงกลยุทธ์นี้หมายความว่าจุดเข้าถึงที่เป็นอันตรายจะยังคงอยู่แม้หลังจากที่ผู้ใช้รีบูตเราเตอร์หรืออัปเดตเฟิร์มแวร์ อาชญากรยังปิดใช้งานฟังก์ชันการบันทึกเพื่อปกปิดร่องรอยของพวกเขา ซึ่งแสดงให้เห็นถึงความตระหนักด้านความปลอดภัยในการดำเนินงานระดับสูงที่บริษัทความปลอดภัย GreyNoise เชื่อมโยงกับผู้กระทำภัยคุกคามขั้นสูงแบบถาวร (APT)

เราเตอร์ Asus ที่คล้ายกับที่ถูกบุกรุกในการโจมตีทางไซเบอร์ครั้งล่าสุด เน้นย้ำถึงช่องโหว่ในอุปกรณ์เครือข่ายสำหรับผู้บริโภค

การดำเนินงานแบบลับๆ บ่งบอกถึงการมีส่วนร่วมของรัฐ

แม้จะมีอุปกรณ์ที่ถูกบุกรุกจำนวนมาก แต่นักวิจัยสังเกตเห็นคำขอการเข้าถึงที่เกี่ยวข้องเพียง 30 ครั้งในช่วงสามเดือน ซึ่งบ่งชี้ว่าแคมเปญกำลังดำเนินไปอย่างช้าๆ และรอบคอบ การวิเคราะห์ของ GreyNoise แสดงให้เห็นว่าแนวทางที่มีการวัดผลนี้สอดคล้องกับผู้กระทำจากรัฐหรือกลุ่มที่ทำงานในนามของรัฐบาลที่เป็นศัตรู บริษัทความปลอดภัยจงใจรอจากเดือนมีนาคมจนถึงเดือนพฤษภาคมเพื่อเปิดเผยผลการค้นพบต่อสาธารณะ โดยให้เวลาในการปรึกษากับพันธมิตรจากรัฐบาลและอุตสาหกรรมเกี่ยวกับผลกระทบ

ภัยคุกคามที่เพิ่มขึ้นต่อโครงสร้างพื้นฐานเครือข่ายผู้บริโภค

การโจมตีนี้เน้นย้ำถึงแนวโน้มที่เพิ่มขึ้นของอาชญากรไซเบอร์ที่มุ่งเป้าไปยังอุปกรณ์เครือข่ายในบ้านและธุรกิจขนาดเล็ก John Bambenek ประธานของ Bambenek Consulting กล่าวว่าผู้โจมตีที่ซับซ้อนกำลังให้ความสำคัญกับอุปกรณ์เหล่านี้มากขึ้นเพื่อวัตถุประสงค์ที่เกินกว่าการดำเนินการขุด cryptocurrency อย่างง่าย ในขณะที่ผู้ใช้ในครัวเรือนเผชิญกับความเสี่ยงโดยตรงน้อยที่สุด แต่เราเตอร์ที่ถูกบุกรุกของพวกเขากลายเป็นผู้เข้าร่วมโดยไม่รู้ตัวในการโจมตีเป้าหมายอื่นๆ ซึ่งอาจทำให้เกิดความท้าทายด้านความปลอดภัยที่เพิ่มขึ้นในระหว่างการใช้อินเทอร์เน็ตตามปกติ

Asus ตอบสนองด้วยการแพตช์และคำแนะนำสำหรับผู้ใช้

Asus ได้ออกคำแนะนำที่ครอบคลุมสำหรับผู้ใช้ที่ได้รับผลกระทบ โดยยืนยันว่าช่องโหว่ CVE-2023-39780 ได้รับการแพตช์ในการอัปเดตเฟิร์มแวร์ล่าสุดแล้ว บริษัทส่งการแจ้งเตือนแบบ push ให้กับผู้ใช้ที่เกี่ยวข้องและอัปเดตทรัพยากรคำแนะนำด้านความปลอดภัย อย่างไรก็ตาม สำหรับเราเตอร์ที่ถูกบุกรุกแล้ว Asus แนะนำกระบวนการแก้ไขหลายขั้นตอนรวมถึงการปิดใช้งานการเข้าถึง SSH การบล็อกที่อยู่ IP ที่เป็นอันตรายเฉพาะ และการรีเซ็ตเป็นค่าเริ่มต้นตามด้วยการกำหนดค่าใหม่ด้วยตนเอง

ขั้นตอนการแก้ไขสำหรับเราเตอร์ที่ถูกบุกรุก

1. อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด
2. ทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน
3. ปิดการเข้าถึง SSH หรือลบคีย์ SSH ที่เป็นอันตราย
4. บล็อกที่อยู่ IP ที่ระบุว่าเป็นอันตราย
5. ตั้งรหัสผ่านผู้ดูแลระบบที่แข็งแกร่ง
6. ปิดฟีเจอร์การเข้าถึงระยะไกล (SSH, DDNS, AiCloud, Web Access from WAN)

มาตรการตรวจจับและป้องกัน

ผู้ใช้สามารถตรวจสอบว่าเราเตอร์ของพวกเขาถูกบุกรุกหรือไม่โดยการตรวจสอบการตั้งค่า SSH ของอุปกรณ์สำหรับการเข้าถึงที่ไม่ได้รับอนุญาตที่กำหนดค่าไว้ที่พอร์ต 53282 การกำหนดค่าที่เป็นอันตรายรวมถึงคีย์สาธารณะ SSH ที่ถูกตัดทอนเฉพาะที่เริ่มต้นด้วย ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ปิดใช้งานคุณลักษณะการเข้าถึงระยะไกลทั้งหมดรวมถึง SSH, DDNS, AiCloud และ Web Access from WAN เป็นมาตรการป้องกัน โดยระบุว่าผู้ใช้ส่วนใหญ่ไม่ค่อยต้องการให้อินเทอร์เฟซการจัดการเหล่านี้เปิดใช้งาน