Nieuw botnet opent permanent backdoors in ASUS-routers
Volgens onderzoekers maken de geïnfecteerde toestellen deel uit van een groter, internationaal botnet dat ook hardware van onder meer Linksys, D-Link en QNAP heeft getroffen. Dat meldt de techsite Dark Reading.
Een sluipende infectie
Het probleem kwam voor het eerst aan het licht in maart, toen securitybedrijf Greynoise merkte dat een nieuwe malwarevariant zich razendsnel verspreidde onder slecht beveiligde ASUS-routers. De malware, intern AyySSHush genoemd, misbruikt zwaktes zoals verouderde firmware en eenvoudige wachtwoorden, maar weet ook geavanceerdere obstakels zoals Trend Micro’s AiProtection te omzeilen.
De infectie gebeurt in meerdere stappen. Eerst probeert de malware toegang te krijgen tot de router via brute force-aanvallen of door bekende, niet altijd publiek geregistreerde kwetsbaarheden uit te buiten. Eens binnen, probeert ze Trend Micro’s ingebouwde beveiligingssuite AiProtection te ondermijnen, in het bijzonder door misbruik te maken van CVE-2023-39780, een twee jaar oude kwetsbaarheid met een hoge ernstscore.
Loggingfunctie getriggerd in ASUS-routers
Daarna introduceert de malware een leeg bestand dat bewust zo genoemd is dat het een loggingfunctie binnen het systeem triggert: Bandwidth SQLite Logging (BWDPI). Door een fout in die functie kan ze haar eigen code uitvoeren met volledige systeemrechten. Tot slot past de malware de routerinstellingen aan om blijvende SSH-toegang in te schakelen. Omdat deze wijziging in het niet-vluchtige geheugen (NVRAM) wordt opgeslagen, blijft de achterdeur actief, zelfs na herstarten of firmware-updates.
Volgens Greynoise nestelen de aanvallers zich via deze methode in een zogenaamd Operational Relay Box-netwerk (ORB). Zulke netwerken bestaan uit een mix van gecompromitteerde apparaten en virtuele servers en worden vaak gelinkt aan zeer professionele cybercriminelen of zelfs statelijke actoren. De groep achter de aanval op de ASUS-routers lijkt dezelfde te zijn als degene die eerder ook hardware van Linksys, D-Link en QNAP viseerde. In een afzonderlijk rapport werd die groep door Sekoia aangeduid als ViciousTrap.
Duizenden routers nog steeds besmet
“Het is eigenlijk alsof de malware een sleutel onder de deurmat verstopt”, zegt Bob Rudis van Greynoise aan Dark Reading. “Als je hem eruit gooit, weet hij toch weer binnen te geraken.”
Tijdens de piek van de aanval werden naar schatting 12.000 routers wereldwijd getroffen. Dat aantal is intussen gezakt tot ongeveer 8.500, al is niet duidelijk of dat komt doordat overheden en bedrijven ingegrepen hebben of omdat de aanvallers hun operatie zelf afbouwden. Wat wel vaststaat, is dat de meeste gebruikers zelf geen actie hebben ondernomen. “In mijn ervaring patcht bijna niemand zijn router nadat we hen waarschuwen”, aldus Rudis. “Het is tegenwoordig bijna verstandiger om je router om de twee jaar volledig te vervangen.”
Wat kunnen gebruikers doen?
Greynoise raadt aan om in elk geval een volledige fabrieksreset uit te voeren van de getroffen router. Daarnaast is het belangrijk om meteen alle wachtwoorden aan te passen en na te gaan of de nieuwste firmwareversie is geïnstalleerd. ASUS en Trend Micro zijn op de hoogte gebracht van de kwestie, maar hebben voorlopig nog niet publiek gereageerd.
