اختراق صامت: 9,000 راوتر ASUS تحت سيطرة بوت نت متخفي 😱

في الآونة الأخيرة، تعرض أكثر من 9 آلاف جهاز راوتر من شركة أسوس لاختراق من قبل شبكة برمجية خبيثة تُسمى "AyySSHush"، تم اكتشافها من قِبل شركة الأمن الرقمي GreyNoise. استهدفت هذه الشبكة أجهزة الراوتر المنزلية والمكتبية، بما فيها نماذج شهيرة من أسوس مثل RT-AC3100 وRT-AC3200 وRT-AX55، إلى جانب راوترات من علامات أخرى مثل سيسكو، دي لينك، ولينكسيس.

وتركزت الهجمات التي بدأت منتصف شهر مارس من عام 2025 على سرقة بيانات تسجيل الدخول (اسم المستخدم وكلمات السر)، واستخدام ثغرة قديمة تُعرف تقنياً بـ "CVE-2023-39780" لتنفيذ أوامر خفية داخل النظام. من خلال هذه الثغرة، قام المخترقون بإضافة مفتاح SSH خاص بهم إلى الأجهزة المخترقة، وفتح منفذ اتصالات غير تقليدي "TCP port 53282"، ما يسمح لهم بالتحكم الكامل في الجهاز من بُعد حتى بعد إعادة تشغيله أو تحديثه.

تم تنفيذ الهجوم باستخدام أدوات قوية، ولكن من الملفت للانتباه أنه لم يُستخدم برمجيات ضارة تقليدية؛ فقد عمد المخترقون إلى تعطيل خاصية التسجيل وتحييد أنظمة الحماية مثل خدمة AiProtection من Trend Micro، مما يجعل كشف الهجوم أصعب على المستخدم العادي. ووفقاً لـ GreyNoise، رغم اكتشاف 30 طلباً مشبوهاً فقط خلال الأشهر الثلاثة الماضية، إلا أن هناك أكثر من 9000 راوتر ثبتت إصابتها بالفعل.

أثارت هذه الحملة الجديدة شكوك الخبراء حول وجود دور محتمل لأطراف تعمل لصالح دول وحكومات، بسبب أسلوبها عالي الدقة والتنظيم، رغم أنه لم تقدم أدلة تدعم بدقة تورط دول بعينها. ويربط بعض المحللين الأمنيين بين هذه العملية وحملة أخرى تدعى "Vicious Trap"، تم رصدها الأسبوع الماضي من طرف شركة الأمن الفرنسية سكويا، استهدفت مجموعة واسعة من أجهزة الإنترنت، لكنها استخدمت ثغرة مختلفة.

ورغم أن النوايا الدقيقة وراء هذه الهجمات مازالت غير معروفة، إلا أن بعض حالات الاختراق مشابهة تشير إلى هدف محتمل يتمثل في إنشاء شبكة واسعة من الأجهزة المخترقة قد تُستخدم مستقبلاً في هجمات DDoS (حجب الخدمة عبر توجيه آلاف الطلبات الوهمية) أو لتحويل حركة الانترنت إلى أنظمة وأجهزة يتحكم بها القراصنة.

وفي ظل هذه المخاطر التي تحدق بالمستخدمين، أصدرت شركة أسوس مؤخراً تحديثات أمنية تُعالج الثغرة "CVE-2023-39780" لجميع الأجهزة المتضررة. ومع ذلك، أكد خبراء من GreyNoise أن إعادة تثبيت تحديثات البرامج لوحدها غير كافية إذا كانت الأجهزة قد سبق وتم اختراقها؛ إذ يتوجب على المستخدم إجراء استعادة لوضع المصنع وإعادة ضبط الراوتر من جديد مع ضرورة استخدام كلمات مرور قوية وصعبة التخمين وإضافة الحماية ضد العناوين المشبوهة ضمن إعدادات الاتصال.

ولتعزيز حماية المستخدمين، نشر خبراء الأمن مجموعة من عناوين IP التي يجب حجبها، وحثوا المستخدمين على فحص ملفات الـ "authorized_keys" بحثاً عن مفتاح SSH غريب والتخلص منه فوراً حال اكتشافه.

في نهاية الأمر، رغم أن تحديثات الأنظمة الأمنية خطوة أولى جيدة، لكن من الواضح أن المستخدم العادي بحاجة إلى توعية أكبر حول طرق اكتشاف الاختراق والتعامل معه. ربما ينبغي للشركات المُصنّعة للأجهزة تسهيل فحص الأمان واستعراض إعدادات الخصوصية بطرق تفاعلية مبسطة للمستخدم، بحيث تصبح الحماية الإلكترونية جزءاً بديهياً من روتين استخدام الأجهزة اليومية بدلاً من كونها مسألة معقدة تُترك للمختصين فقط.