Duizenden ASUS-routers besmet met hardnekkige backdoor die reboot en updates overleeft

Duizenden ASUS-routers zijn getroffen door een geavanceerde aanvalscampagne waarbij cybercriminelen persistente achterdeurtjes installeren. Deze backdoors blijven actief, zelfs nadat het apparaat opnieuw is opgestart of een firmware-update heeft ondergaan. De campagne richt zich met name op routers die bedoeld zijn voor thuisgebruik en kleine ondernemingen.

De aanval werd in maart opgemerkt door een beveiligingsbedrijf. De aanvallers maken gebruik van een combinatie van brute-force methoden en bekende kwetsbaarheden, waaronder de ernstig beveiligingsfout CVE-2023-39780. Deze kwetsbaarheid maakt command injection mogelijk, waardoor kwaadwillenden eigen opdrachten kunnen uitvoeren op het apparaat. Daarnaast worden ook onbekende kwetsbaarheden benut die nooit officieel zijn geregistreerd met een CVE-nummer.

Zodra toegang is verkregen, installeren de aanvallers een publieke SSH-sleutel op de router. Hierdoor kunnen personen met de bijbehorende privésleutel inloggen met volledige beheerdersrechten. Opvallend is dat de achterdeur wordt opgeslagen in het zogenoemde NVRAM (non-volatile RAM). Dit geheugen blijft intact bij een herstart of firmware-update, wat de aanval zeer hardnekkig maakt. Er wordt geen traditionele malware geïnstalleerd, en ook de logbestanden worden uitgeschakeld, wat detectie verder bemoeilijkt.

Uit analyses blijkt dat inmiddels zeker 9000 ASUS-routers zijn besmet, en het aantal groeit nog steeds. Er zijn op dit moment geen aanwijzingen dat de geïnfecteerde routers al actief zijn ingezet voor andere kwaadwillige doeleinden. Toch vermoeden experts dat de daders bezig zijn met het opbouwen van een omvangrijk botnet, mogelijk voor toekomstige grootschalige cyberoperaties.

Hoewel de identiteit van de daders onbekend is, wijzen de gebruikte technieken en het niveau van uitvoering op een goed gefinancierde en technisch onderlegde partij. De methodes doen denken aan die van statelijke actoren, hoewel geen directe toewijzing is gedaan. Pas na interne communicatie met betrokken overheidsorganisaties is besloten om publiekelijk te rapporteren over de aanval.

Om te controleren of een router getroffen is, kunnen gebruikers nagaan of poort TCP/53282 openstaat voor SSH-toegang. Een andere indicatie is de aanwezigheid van een digitale sleutel die begint met:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

Ook kunnen gebruikers hun systeemlogs controleren op verbindingen vanuit de volgende verdachte IP-adressen:

• 101.99.91[.]151

• 101.99.94[.]173

• 79.141.163[.]179

• 111.90.146[.]237

Als een router is geïnfecteerd, moet deze volledig worden teruggezet naar de fabrieksinstellingen. Daarna is het belangrijk om de configuratie handmatig opnieuw in te stellen en ervoor te zorgen dat de laatste beveiligingsupdates zijn toegepast. Het verwijderen van de ongewenste SSH-sleutel en het sluiten van poort 53282 is essentieel om de backdoor te elimineren.

Gebruikers van alle routermerken doen er verstandig aan hun apparaten regelmatig te controleren op ongeautoriseerde toegang, en te zorgen voor tijdige updates van de firmware en inloggegevens.

Door: Drifter