Почти 10 000 роутеров Asus тайно заразили: как проверить свой и защититься

GreyNoise обнаружила скрытый бэкдор в нескольких тысячах маршрутизаторов Asus, предназначенных для дома и малого бизнеса. Атаку зафиксировали в марте 2025 года, но обнародовали только после уведомления властей. По оценке исследователей, в кампании участвуют злоумышленники с серьёзными техническими возможностями, включая возможную поддержку со стороны государств.

Атакующие получают админ-доступ через уязвимости, часть которых отсутствует в базе CVE. После этого они внедряют открытый SSH-ключ — это позволяет обладателю соответствующего закрытого ключа беспрепятственно подключаться к устройству с правами администратора.

Бэкдор остаётся активным даже после перезагрузки и установки новой прошивки. Злоумышленникам не требуется загружать вредоносное ПО или сохранять доступ через цепочку уязвимостей — достаточно встроить открытый ключ в конфигурацию SSH.

GreyNoise зафиксировала примерно 9000 заражённых устройств, и их число продолжает расти. Пока нет данных о фактическом использовании маршрутизаторов в атаках. Эксперты предполагают, что хакеры накапливают ресурсы для дальнейшего применения.

Компания Sekoia ранее описала аналогичную кампанию. При помощи сканирования через платформу Censys специалисты выявили более 9500 скомпрометированных устройств Asus. Для установки бэкдора использовали несколько уязвимостей, включая CVE-2013-39780 — она позволяла выполнять произвольные команды. Asus устранила её и другие уязвимости, но не добавила часть из них в общедоступную базу.