Пред международната общност по киберсигурност се разкри нова, мащабна заплаха: повече от 50 000 домашни рутери на ASUS са били тайно компрометирани и включени в скрита глобална инфраструктура за шпионаж.

Кампанията, получила името Operation WrtHug, е идентифицирана от екипа STRIKE на SecurityScorecard в партньорство с ASUS. Според публикувания доклад дейността на нападателите тече поне от шест месеца и се фокусира основно върху стари или спрени от поддръжка (EoL) модели, които вече не получават актуализации за сигурност.

Кои устройства са били атакувани

Засегнатите рутери включват редица популярни модели в домашни и малки офис среди, сред които:

• 4G-AC55U

• 4G-AC860U

• DSL-AC68U

• GT-AC5300

• GT-AX11000

• RT-AC1200HP

• RT-AC1300GPLUS

• RT-AC1300UHP

По данни на изследователите атакуващите не са използвали нови zero-day уязвимости, а са разчитали на добре известни и от години непоправени слабости, които продължават да съществуват в старите модели.

Как е реализирано проникването

Престъпниците са използвали OS command injection, отдалечено изпълнение на код и заобикаляне на механизми за автентикация, като основният вход за атака е бил услугата ASUS AiCloud – функционалност за дистанционен достъп до файлове и домашни мрежови ресурси.

След първоначалното проникване устройствата са били оборудвани със специализирани инструменти, които:

• превръщат всеки рутер в част от разпределена мрежа от прокси възли,

• позволяват пренасочване на трафик,

• прикриват източника на шпионски операции,

• осигуряват устойчивост и продължителен достъп.

SecurityScorecard съобщава, че е успял да идентифицира над 50 000 уникални IP адреса, принадлежащи на компрометираните устройства.

Следите водят към държавни структури, свързани с Китай

Експертите подчертават, че цялата инфраструктура функционира като т.нар. Operational Relay Box (ORB) – модел, характерен за групи, свързвани с китайски държавен интерес. ORB позволява провеждане на глобални шпионски кампании, прикритие на източника и минимална вероятност за откриване.

Една от най-необичайните технически находки е самоподписан TLS сертификат със срок на валидност от 100 години, открит на голяма част от заразените рутери – индикатор, който изследователите използват, за да проследят операцията през различни континенти.

География на компрометираните устройства

Разпределението на засегнатите устройства е силно концентрирано:

• 30–50% от всички компрометирани рутери се намират в Тайван,

• останалите клъстери са в САЩ, Русия, Европа и Югоизточна Азия.

Подобен географски фокус съвпада с предишни кампании, приписвани на китайски кибергрупи.

Изследователите отбелязват също сходства с друга операция – AyySSHush, която използва сходни уязвимости в ASUS устройства. Липсата на голям брой двойно компрометирани устройства подсказва възможна координация между отделни кампании, без те да се припокриват оперативно.

Урокът: остарелите устройства остават скрит риск

Инцидентът подчертава критичния проблем с остарялата мрежова инфраструктура. Хардуер, който вече не получава обновления, остава уязвим и представлява привлекателна цел за държавно подкрепени групи, търсещи устойчиво присъствие в мрежите на домакинства и малки организации.

ASUS вече е публикувал съвети за защита и инструкции за ограничаване на риска, включително препоръки за изключване на AiCloud, инсталиране на последните налични фърмуер версии или замяна на старите модели.