Über 9.000 ASUS-Router über persistente SSH-Hintertür gehackt

Das Cybersecurity-Unternehmen GreyNoise hat eine geheime Hacking-Kampagne aufgedeckt, die erfolgreich über 9.000 internetfähige ASUS-Router kompromittiert hat .

Erstmals am 18. März 2025 von GreyNoise’s proprietärem KI-gestütztem Analysetool SIFT entdeckt, wurde die Kampagne erst am Mittwoch öffentlich bekannt gegeben, nachdem die Forscher die Ergebnisse mit Regierungs- und Industriepartnern koordiniert hatten.

Die Angreifer verwendeten eine Kombination aus Brute-Force-Anmeldeversuchen, Authentifizierungsumgehungen und einer bekannten Befehlseinschleusungsschwachstelle (CVE-2023-39780), um heimlich eine persistente Hintertür über Secure Shell (SSH) zu installieren.

Was diese Kampagne besonders alarmierend macht, ist ihre Heimlichkeit und Widerstandsfähigkeit: Der unbefugte Zugriff übersteht sowohl Neustarts als auch Firmware-Updates, was ihnen dauerhafte Kontrolle über die betroffenen Geräte gibt.

“ Der Angreifer behält langfristigen Zugriff, ohne Malware abzulegen oder offensichtliche Spuren zu hinterlassen, indem er Authentifizierungsumgehungen verknüpft, eine bekannte Schwachstelle ausnutzt und legitime Konfigurationsfunktionen missbraucht,” schrieben die GreyNoise-Forscher in ihrem Blogbeitrag am Mittwoch.

Durch die Verwendung vollständig emulierter ASUS-Router-Profile, die im GreyNoise Global Observation Grid und durch Deep Packet Inspection betrieben werden, konnten die Forscher die Angriffsfolge rekonstruieren und den Hintertürmechanismus identifizieren.

Wie der Angriff funktioniert

Angreifer erlangen den ersten Zugriff durch Brute-Force-Anmeldeversuche und undocumented Authentifizierungsumgehungen, einschließlich Techniken, die nicht mit CVEs versehen sind. Sie nutzen dann eine bekannte Schwachstelle, CVE-2023-39780, einen Befehlseinschleusungsfehler, um beliebige Befehle auf dem Router auszuführen.

Durch die Verwendung legitimer ASUS-Funktionen aktivieren sie den SSH-Zugriff auf einem benutzerdefinierten Port (TCP/53282) und fügen einen vom Angreifer kontrollierten öffentlichen Schlüssel für den Fernzugriff ein. Die Hintertür wird im nichtflüchtigen Speicher (NVRAM) gespeichert, sodass sie sowohl Neustarts als auch Firmware-Updates übersteht.

“Da dieser Schlüssel mit den offiziellen ASUS-Funktionen hinzugefügt wird, bleibt diese Konfigurationsänderung über Firmware-Updates hinweg bestehen,” erläutert ein weiterer verwandter Bericht von GreyNoise. “Wenn Sie zuvor kompromittiert wurden, wird ein Upgrade Ihrer Firmware die SSH-Hintertür NICHT entfernen.”

Um verborgen zu bleiben, deaktivieren die Angreifer die Systemprotokollierung, vermeiden die Verwendung von Malware und umgehen Trend Micros AiProtection – was sorgfältige Planung und tiefes technisches Wissen demonstriert.

Warum es wichtig ist

Die Angreifer stellen ein Netzwerk kompromittierter Geräte zusammen – effektiv ein heimliches Botnetz – das in zukünftigen Cyberoperationen weaponisiert werden kann. Mit deaktivierter Protokollierung und ohne Malware-Signaturen, die erkannt werden können, ist es unwahrscheinlich, dass traditionelle Sicherheitswerkzeuge es erfassen.

In den letzten drei Monaten haben GreyNoise-Sensoren nur 30 verwandte Anfragen im Zusammenhang mit dieser Kampagne gesehen und bestätigt, dass über 9.000 ASUS-Router kompromittiert wurden. Von diesen Anfragen hat GreyNoise’s SIFT-Tool nur drei verdächtige HTTP-POST-Anfragen markiert, um eine menschliche Inspektion auszulösen.

Angesichts der Raffinesse und Heimlichkeit der verwendeten Methoden schlägt GreyNoise vor, dass die Kampagne möglicherweise das Werk eines gut ausgestatteten und hochqualifizierten Bedrohungsakteurs ist, möglicherweise sogar staatlich verbunden, obwohl keine formelle Zuordnung vorgenommen wurde.

Bis zum 27. Mai 2025 bestätigte Censys, eine Plattform, die kontinuierlich internetfähige Assets im globalen Internet kartiert und überwacht, dass fast 9.000 ASUS-Router kompromittiert worden waren. Die Anzahl der betroffenen Hosts wächst, und angesichts der leisen Durchführung der Operation könnte die tatsächliche Auswirkung noch breiter sein.

ASUS hat seitdem CVE-2023-39780 in einem kürzlichen Firmware-Update gepatcht, aber die Benutzer müssen bestehende Hintertüren manuell überprüfen und bereinigen.

Empfehlungen

Um geschützt zu bleiben, werden die Benutzer gebeten, die ASUS-Router auf SSH-Zugriff auf TCP/53282 zu überprüfen, die authorized_keys-Datei auf verdächtige Einträge zu inspizieren, die identifizierten bösartigen IPs (101.99.91.151, 101.99.94.173, 79.141.163.179 und 111.90.146.237) zu blockieren, und wenn ein Kompromiss vermutet wird, wird empfohlen, einen vollständigen Werksreset durchzuführen und den Router manuell neu zu konfigurieren.