Tysiące routerów Asus przejętych przez chińskich hakerów. Sprawdź, czy twój sprzęt jest bezpieczny
Badacze bezpieczeństwa odkryli, że tysiące routerów marki Asus padło ofiarą ataku i znajduje się obecnie pod kontrolą grupy hakerskiej, podejrzewanej o powiązania z chińskim rządem.
Operacja, nazwana przez ekspertów z SecurityScorecard „WrtHug”, celuje głównie w siedem konkretnych modeli urządzeń, które nie są już wspierane przez producenta i nie otrzymują łatek bezpieczeństwa. Choć intencje atakujących nie zostały jeszcze w pełni ujawnione, skala kompromitacji jest znacząca.
Specjaliści podejrzewają, że przejęte urządzenia są wykorzystywane do tworzenia sieci typu ORB (operational relay box), które służą hakerom do maskowania swojej tożsamości podczas prowadzenia działań szpiegowskich. W przeciwieństwie do ataków DDoS i innych jawnych działań złośliwych typowych dla botnetów, sieci ORB są zazwyczaj wykorzystywane do tajnych operacji, co czyni je trudniejszymi do wykrycia. Przejęte routery koncentrują się głównie na Tajwanie, ale mniejsze ogniska infekcji wykryto również w Korei Południowej, Japonii, Hongkongu, Rosji, Europie Środkowej i Stanach Zjednoczonych. Konsumenckie routery stanowią idealną kryjówkę, ponieważ ruch sieciowy pochodzi z urządzeń o „czystej” reputacji, co pozwala omijać systemy bezpieczeństwa.
Kampania WrtHug wykorzystuje funkcjonalność usługi AICloud, autorskiego rozwiązania Asus pozwalającego na dostęp do plików z Internetu. Podczas procesu infekcji urządzenia wymuszają na użytkownikach instalację samodzielnie podpisanego certyfikatu TLS. Ponieważ interfejsy administracyjne routerów często domyślnie wymagają akceptacji takich certyfikatów, użytkownicy rzadko podejrzewają, że dzieje się coś złego i zatwierdzają prośbę, co otwiera drogę atakującym. Badacze zauważają, że uzyskanie dostępu administracyjnego na poziomie właściciela urządzenia daje atakującym ogromne możliwości, w tym podmienianie certyfikatów.
Lista zagrożonych modeli, o których wie SecurityScorecard, obejmuje: Wireless Router 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS oraz RT-AC1300UHP . Najprostszym sposobem na sprawdzenie, czy router został skompromitowany, jest inspekcja samodzielnie podpisanego certyfikatu.
Certyfikat używany przez hakerów ma datę ważności ustawioną aż do roku 2122, co nigdy nie zdarza się w przypadku prawidłowych certyfikatów. Ponadto pola wystawcy i podmiotu w certyfikacie zawierają ciągi znaków takie jak „CN=a,OU=a,O=a,L=a,ST=a,C=aa”. Użytkownikom korzystającym z urządzeń wycofanych z eksploatacji zaleca się ich wymianę, a jako środek zaradczy – wyłączenie usług takich jak AICloud, zdalna administracja, SSH czy UPnP.
