M
Merih Karaagac
Misafir
Asus yönlendirici botnet saldırısı, siber güvenlik dünyasında 2025 yılının en dikkat çekici AyySSHush Botnetlerinden biri haline geldi. Trend Micro’nun AiProtection gibi yerleşik güvenlik sistemlerini atlatan gelişmiş bir botnet kampanyası, dünya genelinde en az 8000 Asus yönlendiriciyi etkiledi. AyySSHush adı verilen bu yeni botnet, yalnızca teknik karmaşıklığıyla değil, aynı zamanda hedef cihazlarda neredeyse iz bırakmadan kalıcı bir arka kapı oluşturmasıyla da endişe verici bir tehdit profili sergiliyor.
Bu olay, ev ve küçük ofis yönlendiricilerinin siber tehditlerde ne kadar kritik bir hedef haline geldiğini ve hem kullanıcıların hem de üreticilerin dikkatini çeken yeni bir güvenlik paradigmasını ortaya koyuyor.
AyySSHush Botnet’i Nedir ve Nasıl Çalışıyor?
Mart 2025’te güvenlik şirketi GreyNoise tarafından keşfedilen bu yeni botnet, Asus’un popüler yönlendirici modellerini hedef aldı. En dikkat çeken yönlerinden biri, saldırının yalnızca üç HTTP POST isteğiyle başlatılabilmesi ve kullanıcı müdahalesine gerek kalmadan cihaz üzerinde tam kontrol elde edilmesidir.
Botnet’in temel özellikleri:
Asus yönlendiricilere yönelik kimlik doğrulama atlama açıklarını kullanıyor
CVE-2023-39780 dahil olmak üzere bilinen zafiyetleri istismar ediyor
Trend Micro’nun AiProtection gibi güvenlik modüllerini devre dışı bırakıyor
SSH erişimini etkinleştiriyor ve saldırgana özel bir anahtar ekliyor
Günlük kaydını kapatarak iz bırakmadan çalışıyor
Aygıt yazılımı güncellemelerinden etkilenmeyecek şekilde kalıcı hale geliyor
GreyNoise’un açıklamasına göre bu saldırı o kadar iyi planlanmış ki, cihaz yazılımı güncellenmiş olsa bile arka kapı aktif kalıyor, çünkü değişiklikler doğrudan NVRAM (non-volatile memory) üzerine yazılıyor.
Hangi Asus Modelleri Etkilendi?
GreyNoise ve diğer araştırmacıların analizlerine göre, şu modeller saldırının hedefinde yer aldı:
Asus RT-AC3100
Asus RT-AC3200
Asus RT-AX55
RT-AX55, özellikle Wi-Fi 6 teknolojisini kullanan kullanıcılar arasında oldukça popüler. RT-AC3100 ve AC3200 gibi Wi-Fi 5 tabanlı yönlendiriciler ise piyasaya sürüldüklerinden bu yana yüksek performanslı ürünler olarak tercih edilmişti. Bu modellerin yaygınlığı, botnet’in neden bu cihazlara odaklandığını açıklıyor.
Gelişmiş ve “Neredeyse Görünmez” Bir Saldırı
Botnet’in kullandığı yöntemler son derece gelişmiş ve izlenmesi zor. GreyNoise’un Veri Bilimi Başkan Yardımcısı Bob Rudis, “Gelişmiş ve iyi kaynaklara sahip bir tehdit aktörü” tanımını kullanarak bu saldırının arkasındaki grubun sıradan bir siber suçlu grubu olmadığını belirtti.
Saldırganlar:
Yalnızca varsayılan yapılandırmalardaki yönlendiricileri hedef aldı
SSH hizmetini başlatmak için cihaz içinden sistem komutları çalıştırdı
TCP/53282 portu üzerinden uzaktan bağlantı kurdu
Yetkilendirilmiş SSH anahtarı ekleyerek kalıcı erişim sağladı
Üstelik bu yapılandırma değişiklikleri, resmi Asus komutları kullanılarak yapıldığı için, cihazın normal çalışmasını bozmadan entegre oluyor.
Saldırının Arkasında Kim Var?
GreyNoise, saldırının doğrudan bir devlet ya da siber suç grubuna ait olduğunu belirtmese de, analizler “Çince konuşan bir aktör” ihtimalini güçlendiriyor. Fransız siber güvenlik şirketi Sekoia, bu kampanyayla paralel bir başka saldırıyı “ViciousTrap” olarak tanımladı ve arkasındaki grubun “GobRAT altyapısıyla kısmi benzerlik gösterdiğini” bildirdi.
Microsoft’un siber tehditlere verdiği takma ad sistemine göre bu tür saldırılar genellikle “[Kod adı] Typhoon” şeklinde adlandırılıyor. GreyNoise yetkilileri sosyal medya üzerinden yaptıkları açıklamada, bu saldırının “Salt Typhoon” veya benzeri bir Çin merkezli grubun işi olabileceğini ima etti.
Daha Büyük Bir Kampanyanın Parçası mı?
Sekoia’nın raporuna göre bu saldırı, yalnızca Asus yönlendiricilerle sınırlı değil. 50’den fazla farklı üreticinin ürünlerinin yanı sıra SSL VPN’ler, DVR cihazları ve BMC (Baseboard Management Controller) sistemleri de hedef alınmış durumda. Bunların hepsi düşük koruma seviyesine sahip, ancak ağa erişimde kritik öneme sahip cihazlar.
Botnet yöneticileri (veya “çobanlar”), bu cihazların üzerinde kalıcı kontrol sağlayarak, geniş ölçekli dağıtık saldırılar, veri sızıntıları ve altyapı casusluğu gibi faaliyetler yürütme potansiyeline sahip hale geliyorlar.
Asus ve Kullanıcılar Ne Yapmalı?
GreyNoise, Asus’un CVE-2023-39780 ve diğer zafiyetleri kapsayan yeni bir yazılım güncellemesi yayımladığını doğruladı. Ancak kritik bir uyarı yapıldı:
Önerilen adımlar:
Firmware güncellemesi uygulayın.
SSH erişiminin açık olup olmadığını kontrol edin.
Cihaza sizin bilginiz dışında bir SSH anahtarı eklenip eklenmediğini denetleyin.
Eğer teknik bilginiz yoksa veya şüpheli davranışlar fark ediyorsanız:
Cihazı fabrika ayarlarına sıfırlayın.
GreyNoise ayrıca bu saldırının belirtilerini tespit etmeye yardımcı olacak tehdit göstergeleri (IoC) yayınladı. Teknik bilgiye sahip kullanıcılar ya da sistem yöneticileri bu göstergeleri kullanarak cihazlarını analiz edebilirler.
Ev Yönlendiricileri Artık Birer Zayıf Halka
Bu olay, sadece Asus markasına özel bir tehdit değil. Tüm yönlendirici üreticileri ve kullanıcılar için bir uyarı niteliğinde. Küçük ev cihazları artık botnetler için birer ağ geçidi haline gelmiş durumda.
Güvenlik araştırmacılarına göre:
Bir cihazın sıradan görünmesi artık onu saldırıdan korumuyor
Donanımsal sadelik, siber saldırılar için kolay hedef anlamına geliyor
Firmware güncellemeleri, mutlaka ve düzenli şekilde uygulanmalı
AyySSHush, Siber Güvenlikte Yeni Bir Sayfa Açtı
Asus yönlendirici botnet saldırısı, daha önce benzeri görülmemiş bir kalıcılık, gizlilik ve teknik karmaşıklık seviyesiyle dikkat çekiyor. Saldırı, yalnızca birkaç HTTP isteğiyle başlatılıyor, sistemde kalıcı hale geliyor ve hiçbir iz bırakmadan çalışıyor.
Bu olay, yalnızca Asus kullanıcılarını değil, tüm internet kullanıcılarını ilgilendiriyor. Çünkü evimizdeki basit bir yönlendirici, artık sadece bir internet aracı değil; potansiyel bir siber casusluk merkezi ya da DDoS silahı olabilir.
Kullanıcılar olarak şunu artık net şekilde kabul etmeliyiz:
8000’den Fazla Cihaz AyySSHush Botnet’ine Asus Yönlendiricilerle Kurban Oldu yazısı ilk önce BeeTekno | Güncel Teknoloji Haberleri ve İncelemeler yayınlanmıştır.
Okumaya devam et...