VN
VN
Giới Thiệu
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Tin tức
Công nghệ
Bảo mật
Linh kiện máy tính
Thiết bị mạng

Hơn 9.000 Router Asus Bị Tấn Công Trong Chiến Dịch Botnet Tinh Vi Sử Dụng Backdoor Ẩn

BigGo Editorial Team
Hơn 9.000 Router Asus Bị Tấn Công Trong Chiến Dịch Botnet Tinh Vi Sử Dụng Backdoor Ẩn

Một cuộc tấn công mạng tinh vi đã xâm nhập hơn 9.000 router Asus trên toàn thế giới, với các nhà nghiên cứu bảo mật cảnh báo rằng chiến dịch này dường như đang chuẩn bị nền tảng cho một hoạt động botnet quy mô lớn trong tương lai. Cuộc tấn công có tên AyySSHush, đại diện cho sự leo thang đáng lo ngại trong các mối đe dọa nhắm vào thiết bị mạng tiêu dùng.

Dòng thời gian và quy mô cuộc tấn công

  • Phát hiện cuộc tấn công: 18 tháng 3, 2025
  • Công bố công khai: Tháng 5, 2025
  • Thiết bị bị ảnh hưởng: Hơn 9.500 router Asus (và đang tăng)
  • Các yêu cầu độc hại được quan sát: Chỉ 30 lần trong 3 tháng

Phương Thức Tấn Công Tiên Tiến Nhắm Vào Lỗ Hổng Router

Các tội phạm mạng đứng sau chiến dịch này đã sử dụng nhiều kỹ thuật tinh vi để có được quyền truy cập trái phép vào các router Asus. Họ sử dụng các cuộc tấn công đăng nhập brute-force kết hợp với hai phương pháp bỏ qua xác thực khác nhau, đồng thời khai thác các lỗ hổng chưa được biết đến trước đây mà chưa nhận được chỉ định CVE chính thức. Một khi đã xâm nhập vào hệ thống, kẻ tấn công đã tận dụng một lỗ hổng bảo mật đã biết được xác định là CVE-2023-39780 để thực thi các lệnh hệ thống tùy ý và thiết lập quyền truy cập bền vững.

Chi tiết kỹ thuật

  • Lỗ hổng chính: CVE-2023-39780 (lỗ hổng chèn lệnh)
  • Vị trí backdoor: Bộ nhớ không bay hơi ( NVRAM )
  • Cổng truy cập SSH : TCP/53282
  • Các địa chỉ IP độc hại cần chặn: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237

Backdoor Bền Vững Tồn Tại Qua Cập Nhật Firmware

Điều khiến cuộc tấn công này đặc biệt đáng lo ngại là việc kẻ tấn công sử dụng bộ nhớ không bay hơi (NVRAM) để lưu trữ backdoor của chúng. Vị trí chiến lược này có nghĩa là các điểm truy cập độc hại vẫn còn nguyên vẹn ngay cả sau khi người dùng khởi động lại router hoặc cập nhật firmware. Các tội phạm cũng vô hiệu hóa các chức năng ghi log để che giấu dấu vết của họ, thể hiện mức độ nhận thức bảo mật hoạt động cao mà công ty bảo mật GreyNoise liên kết với các tác nhân mối đe dọa bền vững tiên tiến (APT).

Một router Asus , tương tự như những thiết bị bị xâm phạm trong cuộc tấn công mạng gần đây, làm nổi bật các lỗ hổng trong thiết bị mạng tiêu dùng
Một router Asus , tương tự như những thiết bị bị xâm phạm trong cuộc tấn công mạng gần đây, làm nổi bật các lỗ hổng trong thiết bị mạng tiêu dùng

Hoạt Động Bí Mật Gợi Ý Sự Tham Gia Của Nhà Nước

Mặc dù có số lượng lớn thiết bị bị xâm nhập, các nhà nghiên cứu chỉ quan sát được 30 yêu cầu truy cập liên quan trong khoảng thời gian ba tháng, cho thấy chiến dịch đang tiến hành chậm rãi và có chủ đích. Phân tích của GreyNoise cho thấy cách tiếp cận có chừng mực này phù hợp với các tác nhân nhà nước hoặc các nhóm làm việc thay mặt cho các chính phủ thù địch. Công ty bảo mật đã cố ý chờ từ tháng 3 đến tháng 5 để công bố công khai các phát hiện của họ, cho phép thời gian tham vấn với các đối tác chính phủ và ngành công nghiệp về các tác động.

Mối Đe Dọa Ngày Càng Tăng Đối Với Cơ Sở Hạ Tầng Mạng Tiêu Dùng

Cuộc tấn công làm nổi bật xu hướng leo thang của các tội phạm mạng nhắm vào thiết bị mạng gia đình và doanh nghiệp nhỏ. John Bambenek, chủ tịch Bambenek Consulting, lưu ý rằng các kẻ tấn công tinh vi ngày càng tập trung vào những thiết bị này cho các mục đích vượt ra ngoài các hoạt động đào tiền mã hóa đơn giản. Trong khi người dùng gia đình đối mặt với rủi ro trực tiếp tối thiểu, các router bị xâm nhập của họ trở thành những người tham gia không hay biết trong các cuộc tấn công chống lại các mục tiêu khác, có thể gây ra những thách thức bảo mật gia tăng trong quá trình sử dụng internet thường ngày.

Asus Phản Hồi Với Các Bản Vá Và Hướng Dẫn Người Dùng

Asus đã đưa ra hướng dẫn toàn diện cho người dùng bị ảnh hưởng, xác nhận rằng lỗ hổng CVE-2023-39780 đã được vá trong các bản cập nhật firmware mới nhất. Công ty đã gửi thông báo đẩy đến người dùng có liên quan và cập nhật tài nguyên tư vấn bảo mật của họ. Tuy nhiên, đối với các router đã bị xâm nhập, Asus khuyến nghị một quy trình khắc phục nhiều bước bao gồm vô hiệu hóa quyền truy cập SSH, chặn các địa chỉ IP độc hại cụ thể, và thực hiện reset về cài đặt gốc theo sau bởi cấu hình lại thủ công.

Các Bước Khắc Phục cho Router Bị Xâm Nhập

  1. Cập nhật firmware lên phiên bản mới nhất
  2. Thực hiện khôi phục cài đặt gốc
  3. Vô hiệu hóa truy cập SSH hoặc xóa khóa SSH độc hại
  4. Chặn các địa chỉ IP độc hại đã xác định
  5. Đặt mật khẩu quản trị mạnh
  6. Vô hiệu hóa các tính năng truy cập từ xa (SSH, DDNS, AiCloud, Truy cập Web từ WAN)

Các Biện Pháp Phát Hiện Và Ngăn Chặn

Người dùng có thể kiểm tra xem router của họ có bị xâm nhập hay không bằng cách kiểm tra cài đặt SSH của thiết bị để tìm quyền truy cập trái phép được cấu hình trên cổng 53282. Cấu hình độc hại bao gồm một khóa công khai SSH cụ thể bị cắt ngắn bắt đầu bằng ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ. Các chuyên gia bảo mật khuyến nghị vô hiệu hóa tất cả các tính năng truy cập từ xa bao gồm SSH, DDNS, AiCloud, và Web Access từ WAN như các biện pháp phòng ngừa, lưu ý rằng hầu hết người dùng hiếm khi cần những giao diện quản trị này được kích hoạt.

Tin tức liên quan