Hackers Invadem 9 Mil Roteadores ASUS em Ação Silenciosa

Campanha Descoberta

Desde março de 2025, hackers comprometeram cerca de 9 mil roteadores ASUS, usados em casas e pequenos escritórios, em uma operação chamada “AyySSHush”, identificada pela empresa de cibersegurança GreyNoise. A falha explorada, conhecida como CVE-2023-39780, permite que invasores forcem a entrada nos dispositivos e criem acessos secretos (backdoors SSH) que resistem a reinicializações ou atualizações, conforme detalhado em relatórios de segurança.

Traduzindo para uma linguagem mais simples

Imagine que seu roteador ASUS, aquele aparelho que conecta sua casa à internet, é como uma porta. Hackers encontraram uma fechadura fraca (uma falha no sistema) e usaram uma “chave secreta” para entrar sem você perceber. Eles deixaram uma cópia dessa chave escondida, que funciona mesmo se você reiniciar o roteador, para voltar quando quiser. Isso pode permitir que eles usem seu roteador, junto com milhares de outros, para fazer ataques na internet, como derrubar sites ou espionar dados. Para se proteger, é como trocar a fechadura: você precisa resetar o roteador e atualizar seu sistema.

Como o Ataque Funciona

Os invasores exploram a CVE-2023-39780 para executar comandos no roteador, instalando chaves SSH públicas que garantem acesso contínuo pela porta TCP/53282. Essas chaves, salvas em memória não volátil, tornam o backdoor persistente, exigindo um reset de fábrica para remoção. A GreyNoise detectou apenas 30 tentativas de ataque em três meses, mostrando a natureza furtiva da campanha. A Censys contabilizou 8.645 dispositivos afetados até 27 de maio, com tendência de aumento.

Finalidade do Hack

Embora não haja ransomwares ou malwares ativos, especialistas acreditam que os roteadores estão sendo preparados para formar uma botnet, uma rede de dispositivos controlados para ataques de negação de serviço (DDoS) ou retransmissão de dados em espionagem. A Sekoia vincula a campanha ao grupo “ViciousTrap”, possivelmente chinês, que também atacou roteadores Cisco. A sofisticação sugere envolvimento de atores estatais ou grupos bem financiados.

Como se Proteger

A ASUS corrigiu a falha em atualizações recentes de firmware, mas dispositivos já invadidos seguem vulneráveis. Usuários devem:

1. Desativar o SSH no painel de administração do roteador (seção “Service” ou “Administration”) e bloquear a porta 53282.
2. Fazer um reset de fábrica e reconfigurar o dispositivo.
3. Baixar o firmware mais recente no site oficial da ASUS.
   Monitorar tráfego para IPs de comando e controle (C2) também é recomendado pela GreyNoise.

Contexto e Implicações

O ataque expõe a fragilidade de roteadores domésticos, alvos ideais para botnets devido à baixa capacidade computacional, segundo Yuvraj Agarwal, da Carnegie Mellon. A CISA colaborou na contenção, mas não se pronunciou. A GreyNoise reteve a divulgação a pedido de parceiros governamentais, indicando a gravidade. Outras marcas, como TP-Link, enfrentam ameaças similares, reforçando a vulnerabilidade de dispositivos IoT.

Com informações de Cybersecurity Dive, GreyNoise, Sekoia