كشفت شركة «GreyNoise» الاستخباراتية عن حملة سيبرانية متقدمة تمكن خلالها مهاجمون من الوصول غير المصرح به إلى نحو 9000 جهاز توجيه (راوتر) من طراز ASUS، مع الاحتفاظ بهذا الوصول بشكل دائم دون الاعتماد على تحميل برمجيات خبيثة أو ترك آثار رقمية تقليدية.
وذكرت الشركة في تقرير نشرته بتاريخ 28 مايو، أن الهجوم يتميز بتكتيكات تخفٍ عالية المستوى، حيث استغل المهاجمون خصائص نظامية موجودة ضمن أجهزة الراوتر لإنشاء أبواب خلفية دائمة لا تُزال حتى بعد إعادة التشغيل أو تحديثات النظام.
وأشارت الشركة إلى أن الحملة تشبه من حيث الأسلوب حملات اختراق طويلة الأمد تُنسب عادةً إلى جهات تهديد متقدمة (APT) وتُعرف باستخدامها شبكات تُسمى «صناديق الترحيل العملياتية» (ORB).
مسار التسلل عبر أجهزة ASUS
رصد الباحثون في «GreyNoise» بداية الحملة يوم 18 مارس باستخدام أداة تحليل حركة الشبكة المدعومة بالذكاء الاصطناعي «SIFT»، بالتزامن مع محاكاة كاملة لأجهزة راوتر ASUS ضمن شبكة المراقبة العالمية الخاصة بالشركة.
أظهر التحليل وجود حمولة شبكة خبيثة حاولت تعطيل خصائص الحماية الخاصة بـ TrendMicro في راوترات ASUS، واستغلال ثغرات أمنية، مع توظيف أدوات جديدة ضمن خصائص «AiProtection».
وقد تم تحديد سلسلة التسلل كما يلي:
بدأ المهاجمون بمحاولات تسجيل دخول عشوائي (Brute-force) واستغلال ثغرتين غير موثقتين لتجاوز المصادقة، لا تحملان أرقام تعريف (CVE).
استخدموا ثغرة موثقة تحت رقم CVE-2023-39780، وهي ثغرة خطيرة من نوع “حقن أوامر” تؤثر على طراز ASUS RT-AX55، وتمت معالجتها في تحديث برمجي حديث.
قاموا بتفعيل الوصول عبر SSH على منفذ مخصص (TCP/53282) وزرعوا مفتاحاً عاماً للتحكم عن بعد، مخزناً في ذاكرة غير متطايرة (NVRAM)، ما يجعله باقياً بعد التحديثات وإعادة التشغيل.
تم تعطيل سجل التتبع (Logging) في الجهاز لتجنّب اكتشاف النشاط.
رغم إصدار ASUS تحديثاً لإغلاق ثغرة CVE-2023-39780، إلا أن تغييرات المهاجمين على إعدادات SSH لا يتم التراجع عنها تلقائياً. كما أن الثغرتين الأصليتين لتجاوز المصادقة لم تُوثق رسمياً بعد.
وأشارت الشركة إلى أنها أجّلت الكشف عن نتائج التحقيق حتى إبلاغ شركائها من الحكومات والصناعات.
وفي 22 مايو، أكدت شركة Sekoia المتخصصة في التهديدات السيبرانية اختراق أجهزة ASUS ضمن حملة أطلقت عليها اسم “ViciousTrap”.
توصيات الحماية من حملة ASUS
أوصت «GreyNoise» باتباع الخطوات التالية للتحقق من سلامة الأجهزة وتخفيف خطر الاختراق:
التحقق من وجود منفذ SSH مفتوح على TCP/53282 في أجهزة ASUS
مراجعة ملف authorized_keys لرصد أي مفاتيح غير مصرّح بها
حظر عناوين IP التالية:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
في حال الشك بوجود اختراق، يُنصح بإعادة ضبط الجهاز بالكامل إلى إعدادات المصنع وإعادة تكوينه يدوياً
