Das Cybersicherheitsunternehmen Greynoise hat eine Kampagne identifiziert, bei der Angreifer unerlaubt Zugriff auf tausende mit dem Internet verbundene Asus-Router erlangt haben. Ziel scheint der Aufbau eines dezentralen Netzwerks kompromittierter Geräte zu sein – möglicherweise als Grundlage für eine spätere Botnet-Infrastruktur.
Gemäss den Experten sollen die Angreifer sich durch hohe technische Raffinesse auszeichnen: So sollen die Täter bekannte Schwachstellen nutzen, auffällige Malware vermeiden und ihre Zugriffe dauerhaft absichern – auch über Neustarts und Firmware-Updates hinweg. Der Zugriff erfolgt demnach durch eine Kombination aus Brute-Force-Angriffen, Authentifizierungsumgehungen und der Nutzung legitimer Asus-Konfigurationsoptionen.
Greynoise konnte die Angriffe mithilfe seiner eigenen KI-basierten Analyseplattform sowie emulierten Router-Profilen aufdecken. Durch diese Infrastruktur liessen sich ungewöhnliche Netzwerkanfragen identifizieren und die gesamte Angriffskette rekonstruieren,
schreibt das Unternehmen via Blog.
Die betroffenen Router erlauben SSH-Zugriffe über einen unüblichen Port (TCP/53282), wobei Angreifer eigene öffentliche Schlüssel zur dauerhaften Fernsteuerung einfügen. Diese Änderungen werden in nichtflüchtigem Speicher (NVRAM) abgelegt und überstehen reguläre Updates. Router-Logs werden deaktiviert, wodurch die Aktivitäten besonders schwer zu erkennen seien.
Per Stand vom 27. Mai 2025 wurden knapp 9000 betroffene Geräte gezählt– Tendenz steigend. Eine Entfernung der Hintertür erfordert einen manuellen Eingriff, da ein einfaches Firmware-Update nicht ausreicht. Greynoise empfiehlt Besitzern von Asus-Routern, diese auf SSH-Zugriffe via TCP/53282 zu prüfen sowie die Datei "authorized_keys" auf nicht autorisierte Einträge zu überprüfen. Zudem sollten einige IP-Adressen (101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237) gesperrt werden, und bei Verdacht auf Kompromittierung wird ein vollständiger Werks-Reset und die manuelle Neukonfiguration des Routers empfohlen.
(mw)
