Hvis du har en Asus-router stående derhjemme eller på kontoret, så læs videre. Sikkerhedsfirmaet GreyNoise har nemlig afsløret, at tusindvis af Asus-routere er blevet inficeret med en snedig bagdør, der giver hackere fuld adgang – uden du opdager det.
Angrebet gør det muligt for en ukendt aktør at logge ind på din router som administrator. Og det stopper ikke, selv hvis du opdaterer firmwaren eller genstarter enheden. Det eneste, der skal til, er en digital nøgle – og den har angriberne lagt ind i systemet.
Mulig statslig aktør bag
Der er ingen popup-advarsler. Ingen blinkende lys. Routeren virker som den plejer, men en fremmed har muligvis adgang. Ifølge GreyNoise er det sandsynligt, at angrebet er orkestreret af en statslig aktør – eller i hvert fald nogen med meget store ressourcer.
Angrebet blev opdaget allerede i marts, men GreyNoise valgte at holde oplysningerne tilbage, indtil relevante myndigheder var underrettet. Det tyder ifølge firmaet selv på, at der kan være en statslig aktør involveret – eller i det mindste en trussel med betydelige ressourcer.
Angrebet ser ud til at være en del af en større kampagne, som sikkerhedsfirmaet Sekoia har døbt ViciousTrap. Her vurderes det, at op mod 9.500 Asus-routere allerede kan være kompromitteret, blandt andet på baggrund af scanninger fra netværksanalytikere hos Censys.
Sådan opdager og fjerner du bagdøren
Det er ikke nemt for almindelige brugere at opdage, om deres router er ramt. Men ifølge GreyNoise kan man tjekke SSH-indstillingerne i routerens kontrolpanel. Du kan selv undersøge, om din router er ramt:
- Log ind i routerens kontrolpanel (det står typisk bag på routeren).
- Gå til SSH-indstillinger.
- Kig efter adgang via port 53282 og en nøgle, der starter med:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVF...
Brugere bør i så fald fjerne både nøgle og portindstilling manuelt. Man kan også se efter mistænkelig aktivitet i systemloggene – især hvis der er oprettet forbindelser fra IP-adresserne:
- 101.99.91[.]151
- 101.99.94[.]173
- 79.141.163[.]179
- 111.90.146[.]237
Det vigtigste er, at du opdaterer din router med den nyeste firmware, hvis du ikke allerede har gjort det. Asus har lukket de kendte sikkerhedshuller, men hvis bagdøren først er installeret, skal du selv fjerne den.
I Danmark er Asus RT-BE92U blandt de mest søgte routere på prissammenligningssiden PriceRunner, hvilket indikerer en høj efterspørgsel.
Der er endnu ingen tegn på, at de kompromitterede routere er blevet brugt aktivt i større angreb, men GreyNoise advarer om, at de kan blive det i fremtiden – som en del af et større botnet eller målrettede angreb.