Neues Botnetz kapert dauerhaft ASUS-Router – Tausende Geräte weltweit infiziert

Ein neu entdecktes Botnetz hat Tausende ASUS-Router gekapert und sich damit einen dauerhaften Zugang zu den Geräten verschafft. Die Schadsoftware bleibt auch nach Neustarts oder Firmware-Updates aktiv und integriert die kompromittierten Router in ein globales Netzwerk sogenannter ORBs – ein Zusammenschluss aus gehackten virtuellen Servern, IoT-Geräten und Routern verschiedenster Hersteller.

Wie aus einem Bericht des Fachportals DarkReading hervorgeht, wurde das Botnetz im März vom Sicherheitsunternehmen Greynoise entdeckt. Die Forscher stellten fest, dass sich die Schadsoftware vor allem über ungepatchte oder schwach gesicherte ASUS-Router verbreitet – häufig durch Brute-Force-Angriffe oder die Ausnutzung bekannter, aber nicht behobener Sicherheitslücken.

Die Malware mit dem Namen AyySSHush zeigt sich technisch hochentwickelt: Sie unterläuft Sicherheitsmechanismen wie Trend Micros AiProtection und nutzt sogenannte Living-off-the-Land-Techniken, um sich tief ins System einzugraben. Besonders perfide: AyySSHush nutzt eine ältere, aber gravierende Schwachstelle (CVE-2023-39780), um über manipulierte Log-Dateien Systemrechte zu erlangen. Anschließend manipuliert sie die Router-Konfigurationen so, dass ein dauerhafter SSH-Zugang eingerichtet wird – gespeichert im nichtflüchtigen Speicher (NVRAM) und somit selbst nach einem Reset beständig.

Die Malware gehört offenbar zu einer breit angelegten Kampagne, bei der auch Geräte anderer Hersteller wie Linksys, D-Link, QNAP oder Araknis Networks kompromittiert wurden. Die französische Sicherheitsfirma Sekoia geht davon aus, dass hinter der Attacke die Gruppierung ViciousTrap steckt. Ziel sei laut Greynoise-Experte Bob Rudis der Aufbau eines großen, weltweit verteilten ORB-Netzwerks – mit möglicher Verbindung zu organisierten Cyberkriminellen oder staatlich gesteuerten Akteuren.

Gegenmaßnahmen kaum effektiv ohne Werksreset

Während Sicherheitsupdates und gute Passwörter grundsätzlich vor derartigen Angriffen schützen können, versagt dieser Schutz bei besonders raffinierten Kampagnen wie dieser. Rudis empfiehlt betroffenen Nutzern dringend einen vollständigen Werksreset – selbst das Entfernen der Malware reicht nicht aus, wenn Reste im NVRAM überdauern.

Die Dimension des Angriffs ist enorm: Bis zu 12.000 Router waren zeitweise Teil des Botnetzes, aktuell sind es laut einer Censys-Auswertung noch rund 8.500. Greynoise und Partner aus Industrie und Behörden versuchen derzeit, dem Netzwerk den Zugriff zu entziehen. Rudis äußert jedoch Zweifel, ob betroffene Nutzer selbst aktiv werden – aus seiner Sicht reagieren die wenigsten auf Sicherheitswarnungen, geschweige denn mit konkreten Maßnahmen.

Sein Rat: Wer maximale Sicherheit will, sollte alle zwei Jahre einen neuen Router anschaffen – mit aktueller Firmware und einem guten Sicherheitsruf.