Een recent ontdekte botnet heeft duizenden routers van het merk ASUS besmet. De malware blijft actief, zelfs na herstarten of updates. Het lijkt geïnfecteerde apparaten te registreren als onderdeel van een groter netwerk van zogenaamde ORB’s. Dat is een verspreid netwerk van virtuele privéservers (VPS), gehackte slimme apparaten en routers.
Dit schrijft DarkReading. Onderzoekers van Greynoise ontdekten halverwege maart dat een botnet zich verspreidde via ongepatchte of slecht beveiligde ASUS-routers. In sommige gevallen kreeg de malware eenvoudig toegang dankzij zwakke wachtwoorden of bekende kwetsbaarheden.
Tegelijkertijd vertoonde het geavanceerde kenmerken. Het omzeilde ingebouwde beveiliging van Trend Micro en maakte gebruik van living-off-the-land-technieken om zich diep in het systeem te nestelen. Greynoise gaf de malware de naam AyySSHush.
De situatie werd complexer toen onderzoekers van Sekoia recentelijk rapporteerden dat duizenden randapparaten van onder andere Linksys, D-Link, QNAP, Araknis Networks en ASUS waren gecompromitteerd. Greynoise vermoedt sterk dat dezelfde actor achter deze campagnes zit. Dat is een groep die door Sekoia ViciousTrap wordt genoemd.
Volgens Bob Rudis van Greynoise is het doel van de campagne duidelijk: het opzetten van een omvangrijk ORB-netwerk. Zulke netwerken worden doorgaans in verband gebracht met georganiseerde cybercriminelen of statelijke actoren, aldus Rudis.
Brute force-aanvallen
AyySSHush gebruikt voor de initiële toegang simpele methoden: brute force-aanvallen op het inlogscherm. Of het misbruiken van bekende kwetsbaarheden zonder CVE-registratie. Zodra de malware toegang krijgt, probeert het de AiProtection-beveiliging van Trend Micro te ondermijnen. Specifiek richt het zich op CVE-2023-39780. Dit is een bijna twee jaar oude kwetsbaarheid waarmee via commando-injectie systeemrechten kunnen worden verkregen.
De malware creëert een leeg bestand dat een logfunctie activeert genaamd Bandwidth SQLite Logging (BWDPI). Door een ernstig lek in BWDPI kan vervolgens willekeurige code als systeemcommando worden uitgevoerd.
Daarna wijzigt de malware instellingen zodat het blijvende SSH-toegang krijgt. Deze aanpassing wordt opgeslagen in niet-vluchtig geheugen (NVRAM), waardoor het zelfs bij firmware-updates en herstarts actief blijft. Volgens Rudis betekent dit dat, zelfs als je de malware verwijdert, een deel ervan kan terugkeren zolang deze in het geheugen opgeslagen code opnieuw geactiveerd wordt. Daarom adviseert Greynoise gebruikers om een volledige fabrieksreset uit te voeren.
Rudis merkt op dat het steeds moeilijker wordt om zulke aanvallen te stoppen. Vaak volstaan updates en goede beveiligingspraktijken, maar als dat niet meer werkt, is zijn advies om elke twee jaar een nieuwe router aan te schaffen met een betere reputatie.
Duizenden routers blijven kwetsbaar
Op 23 maart begon Greynoise samen met overheids- en industriële partners de strijd tegen het kwaadaardige netwerk. Tijdens de piek waren naar schatting 12.000 routers besmet. Inmiddels is dat aantal gedaald tot iets meer dan 8.500, blijkt uit een recente zoekopdracht via Censys.
Rudis denkt dat ofwel de aanvallers zich hebben teruggetrokken, of dat overheidsinstanties actief zijn geworden om de dreiging te verwijderen. In ieder geval gelooft hij niet dat de routereigenaren dit zelf hebben opgelost. Volgens hem patcht vrijwel niemand zijn apparaten na een waarschuwing, ondanks tientallen jaren ervaring waarin hij dit heeft gezien.