Botnet van 14.000 Asus-routers alleen op te schonen via fabrieksreset

In dit artikel:

Beveiligingsonderzoekers van Lumen hebben recent een botnet met ongeveer 14.000 besmette Asus-routers ontdekt, dat zij KadNap noemen. Criminelen verhuren de apparaten als proxyservers zodat hun verkeer een ander, regionaal passend ip-adres krijgt en hun eigen locatie verhuld blijft. De meeste besmettingen zijn tot nu toe in de Verenigde Staten aangetroffen.

Lumen geeft niet precies aan hoe de routers zijn gecompromitteerd, maar vermoedt dat bekende kwetsbaarheden zijn misbruikt — vermoedelijk doordat updates door eigenaren niet waren toegepast. Onderzoekers publiceerden Indicators of Compromise (IoC’s) zodat gebruikers kunnen nagaan of hun router is getroffen.

Verwijderen vergt een fabrieksreset: de malware legt een opstartend shell-script aan dat bij een normale herstart weer actueel wordt, en alleen een reset verwijdert dat script. Advies is verder alle firmware te updaten, sterke admin-wachtwoorden te gebruiken en remote access uit te schakelen tenzij strikt noodzakelijk.