GreyNoise onthult geheime backdoor-campagne dat ASUS routers treft

De campagne kenmerkt zich door een uitzonderlijk hoog niveau van professionaliteit, wat duidt op een goed gefinancierde en zeer capabele tegenstander. De tactieken die worden gebruikt – waaronder heimelijke initiële toegang, het misbruiken van ingebouwde systeemfuncties voor persistentie en het zorgvuldig vermijden van detectie – komen overeen met die van geavanceerde, langdurige operaties, vaak geassocieerd met Advanced Persistent Threat (APT)-actoren.

Hardnekkige toegang en onzichtbare aanval

Wat deze campagne bijzonder zorgwekkend maakt, is de persistentie van de aanvallers. Hun toegang blijft behouden, zelfs na herstarts en firmware-updates van de routers. Dit wordt bereikt door een combinatie van authenticatie-omzeilingen, de exploitatie van een bekende kwetsbaarheid (CVE-2023-39780) en het misbruiken van legitieme configuratiefuncties. Er wordt geen malware geïnstalleerd en er worden geen duidelijke sporen achtergelaten, wat detectie extreem moeilijk maakt.

De ontdekking werd gedaan door Sift, de eigen AI-aangedreven netwerkanalyse-tool van GreyNoise, in combinatie met volledig geëmuleerde ASUS-routerprofielen die draaien op het GreyNoise Global Observation Grid. Deze geavanceerde tools stelden de onderzoekers in staat om subtiele exploitatiepogingen in het wereldwijde verkeer te detecteren en de volledige aanvalssequentie te reconstrueren.

Chronologie van de ontdekking

• 17 maart 2025: GreyNoise's AI-technologie Sift detecteert afwijkend verkeer.
• 18 maart 2025: GreyNoise-onderzoekers starten het onderzoek naar aanleiding van het Sift-rapport.
• 23 maart 2025: Openbaarmaking uitgesteld voor coördinatie met partners.
• 22 mei 2025: Sekoia kondigt compromittering van ASUS-routers aan als onderdeel van 'ViciousTrap'.
• 28 mei 2025: GreyNoise publiceert dit blogbericht.

Belangrijkste bevindingen

• Duizenden ASUS-routers zijn bevestigd gecompromitteerd, en het aantal neemt gestaag toe.
• Aanvallers verkrijgen toegang via brute-force loginpogingen en authenticatie-omzeilingen, inclusief technieken waarvoor geen CVE's zijn toegewezen.
• De kwetsbaarheid CVE-2023-39780 (een commando-injectiefout) wordt geëxploiteerd om systeemcommando's uit te voeren.
• Legitieme ASUS-functies worden misbruikt om SSH-toegang in te schakelen op een aangepaste poort (TCP/53282) en een door de aanvaller gecontroleerde publieke sleutel in te voegen voor externe toegang.
• De backdoor wordt opgeslagen in niet-vluchtig geheugen (NVRAM), waardoor deze niet wordt verwijderd tijdens firmware-upgrades of herstarts.
• Er wordt geen malware geïnstalleerd en routerlogging wordt uitgeschakeld om detectie te omzeilen.
• De gebruikte technieken wijzen op een planning voor langdurige toegang en een hoog niveau van systeemkennis.

Hoe GreyNoise het ontdekte

De campagne kwam aan het licht via Sift, de AI-tool van GreyNoise voor het detecteren van nieuwe en afwijkende netwerkactiviteit. Sift markeerde slechts drie HTTP POST-verzoeken gericht op ASUS router-endpoints voor diepere inspectie.

Deze payloads werden alleen waargenomen op de volledig geëmuleerde ASUS-profielen met fabrieksfirmware. Deze infrastructuur stelde GreyNoise in staat om de volledige PCAP van de verzoeken en het routergedrag vast te leggen, de aanval in een gecontroleerde omgeving te reproduceren en te bevestigen hoe de backdoor wordt geïnstalleerd en persistent blijft. Zonder deze geëmuleerde profielen en diepgaande inspectie zou deze aanval waarschijnlijk onzichtbaar zijn gebleven, gezien de aanvallers logging uitschakelen en officiële routerfuncties gebruiken, waardoor weinig sporen achterblijven.

Bevestigde Exploitatieketen:

1. Initiële Toegang:
   • Brute-force loginpogingen.
   • Twee authenticatie-omzeilingstechnieken (geen CVE's toegewezen).
2. Commando-uitvoering:
   • Exploitatie van CVE-2023-39780 om willekeurige commando's uit te voeren.
3. Persistentie:
   • SSH-toegang ingeschakeld via officiële ASUS-instellingen.
   • Aanvaller voegt een aangepaste publieke SSH-sleutel in.
   • Configuratie opgeslagen in NVRAM, niet op schijf.
4. Stealth:
   • Logging uitgeschakeld voordat persistentie wordt ingesteld.
   • Geen malware achtergelaten.

Omvang en zichtbaarheid:

Vanaf 27 mei zijn bijna 9.000 ASUS-routers bevestigd gecompromitteerd, gebaseerd op scans van Censys – een platform dat continu internetgerichte activa wereldwijd in kaart brengt en monitort. Censys toont wat is blootgesteld; GreyNoise laat zien welke van die activa actief worden aangevallen. Het aantal getroffen hosts blijft groeien.

GreyNoise-sensoren zagen slechts 30 gerelateerde verzoeken in drie maanden, wat de stille aard van deze campagne aantoont. Eigenaren van ASUS-routers worden dringend geadviseerd om hun apparaten te controleren op verdachte activiteiten en, indien mogelijk, contact op te nemen met de fabrikant voor richtlijnen over het beveiligen van hun apparaten.