Yeni Botnet Tehdidi: AyySSHush
Son aylarda, 9,000’den fazla ASUS yönlendirici, AyySSHush adı verilen yeni bir botnet tarafından etkilenmiş durumda. Bu botnet, Cisco, D-Link ve Linksys’in SOHO yönlendiricilerini de hedef alarak gözlemlenmiştir. GreyNoise güvenlik araştırmacıları, bu kampanyayı Mart 2025’in ortalarında keşfetti. Elde edilen bulgular, bu tehditin bir ülke devletin aktörlerince gerçekleştirilmiş olabileceğine dair ipuçları taşımaktadır. Ancak henüz kesin bir atıf yapılmamıştır.
AyySSHush’ın Çalışma Prensibi
GreyNoise, bu kampanyanın, giriş bilgilerini kaba kuvvet yöntemleriyle kırma, kimlik doğrulamayı atlatma ve eski güvenlik açıklarını kullanma gibi teknikler içerdiğini bildirmektedir. Özellikle, CVE-2023-39780 olarak takip edilen eski bir komut enjeksiyon açığı, saldırganların kendi SSH genel anahtarlarını eklemelerine ve SSH daemon’unu belirlenmemiş TCP portu 53282 üzerinde dinlemesini sağlıyor. Bu değişiklik, tehdit aktörlerinin cihazda arka kapı erişimi sağlamasına olanak tanıyarak cihazın yeniden başlatılması veya yazılım güncellemeleri sırasında bile bu erişimi korumasını mümkün kılıyor.
GreyNoise raporunda belirtilenlere göre, "Bu anahtar resmi ASUS özellikleri kullanılarak eklendiği için, bu yapılandırma değişikliği yazılım güncellemeleri sırasında korunur." Ayrıca, "Eğer daha önce saldırıya uğradıysanız, yazılımınızı güncellemek SSH arka kapısını kaldırmayacaktır." Bu durum, saldırının özellikle sinsi bir şekilde gerçekleştiğini ve herhangi bir kötü amaçlı yazılım içermediğini belirtmektedir.
Saldırının İzlenmesi
GreyNoise, son üç ay içerisinde bu kampanya ile ilişkili yalnızca 30 kötü niyetli isteğin kaydedildiğini bildiriyor. Ancak buna rağmen, 9,000 ASUS yönlendiricisi enfekte olmuş durumda. Yapılan saldırılardan sadece üçü, GreyNoise’ın yapay zeka destekli analiz aracı tarafından tespit edilmiştir. Bu durum, botnetin fark edilmeden büyüdüğünü göstermektedir.
Saldırıların hedeflerine baktığımızda, Sekoia tarafından izlenen "Vicious Trap" etkinliği ile örtüşen bir durum olduğu görülmektedir. Sekoia, bu saldırılarda ASUS yönlendiricilerine ulaşmak için CVE-2021-32030 açığını kullanan tehdit aktörlerinden bahsetmiştir. Burada, kötü niyetli bir scriptin indirildiği ve çalıştırıldığı, bu sayede kötü niyetli trafiğin saldırganın kontrolündeki üçüncü taraf cihazlara yönlendirildiği belirtilmektedir.
AyySSHush’ın Amaçları
AyySSHush’ın tam olarak ne amaçla hareket ettiği net olarak bilinmemektedir. Şu an için bir dağıtılmış hizmet reddi (DDoS) saldırısı veya ASUS yönlendiricileri üzerinden kötü niyetli trafiği proxy olarak kullanma belirtileri bulunmamaktadır. Ancak, görünüşe göre, bu kampanya sessizce arka kapılı yönlendiricilerin bir ağını oluşturarak gelecekteki bir botnet için zemin hazırlamaktadır.
ASUS Yönlendiricilerinizi Koruma Yöntemleri
ASUS, etkilenmiş yönlendiriciler için CVE-2023-39780 açığını gideren güvenlik güncellemeleri yayınlamıştır. Ancak, güncellemelerin ne zaman mevcut olacağı modele göre değişiklik göstermektedir. Kullanıcıların, mümkün olan en kısa sürede yazılımlarını güncellemeleri ve şüpheli dosyaları ile saldırganın SSH anahtarının eklenip eklenmediğini kontrol etmeleri önerilmektedir. Bunun için ‘authorized_keys’ dosyasının incelenmesi önemlidir.
GreyNoise, bu aktiviteyle ilişkilendirilen dört IP adresini de listelemektedir ve bu adreslerin bir engelleme listesine eklenmesi tavsiye edilmektedir:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Eğer bir saldırıdan etkilendiğiniz düşünülüyorsa, router’ın fabrika ayarlarına sıfırlanması önerilmektedir. Daha sonra, güçlü bir şifre kullanarak yeniden yapılandırma gerçekleştirilmelidir.
Sonuç
AyySSHush botnetinin etkileri, ASUS yönlendirici kullanıcıları için ciddi bir tehdittir. Kullanıcıların bu tür saldırılara karşı dikkatli olması ve gerekli önlemleri alması gerekmektedir. Güvenlik açıklarının kapatılması ve güçlü şifrelerin kullanımı, bu tür tehditlere karşı en etkili savunma yollarındandır.
