Підконтрольна Китаю хакерська група зламала понад 50 000 домашніх та офісних роутерів Asus по всьому світу й перетворила їх на приховану інфраструктуру для кібершпигунства, причому серед заражених пристроїв є й маршрутизатори в Україні.
Підконтрольна Китаю хакерська група зламала понад 50 000 домашніх та офісних роутерів Asus по всьому світу й перетворила їх на приховану інфраструктуру для кібершпигунства, причому серед заражених пристроїв є й маршрутизатори в Україні.
Про це повідомляє Ars Technica з посиланням на дослідження компанії SecurityScorecard, яка дала кампанії назву Operation WrtHug. Під удар потрапили переважно сім моделей Asus, які виробник визнав застарілими й більше не забезпечує оновленнями безпеки. Саме відсутність патчів на відомі вразливості, зокрема виявлені ще у 2023 році, дозволила зловмисникам масово перехоплювати контроль над такими пристроями.
Інфіковані роутери дослідники зіставляють із так званими мережами ORB (Operational Relay Box) — розгалуженою системою проксі-вузлів, через які хакери «проганяють» свій трафік, маскуючи справжнє джерело атак. На карті заражень найбільші кластери видно в Тайвані та країнах Південно-Східної Азії, менші у США та Європі.
Також окремо видно й українські цілі: позначені заражені роутери у великих містах на кшталт Києва, Львова, Вінниці й Одеси, а також на тимчасово окупованому Кримському півострові. Точну кількість пристроїв у кожному регіоні автори дослідження не розкривають, однак підкреслюють, що вони входять до загальної мережі з понад 50 000 скомпрометованих маршрутизаторів по всьому світу.
Особливістю цієї операції є максимальна «тиша». На відміну від класичних ботнетів, що запускають гучні DDoS-атаки, ця мережа переважно зачаїлася або використовується для делікатних шпигунських операцій проти держустанов і критичної інфраструктури. Технічний аналіз показав, що на зламаних роутерах встановлюється шкідливе ПЗ, яке додає самопідписаний TLS-сертифікат із терміном дії до 2122 року та полями на кшталт CN=a, OU=a, O=a, що нетипово для легітимних сертифікатів.
ASUS більше не підтримує ці моделі, тож власникам таких пристроїв фактично не лишається варіантів, окрім повної заміни на нові маршрутизатори з актуальною прошивкою. Визначити компрометацію можна за наявністю підозрілого сертифіката — інструкції щодо його пошуку опубліковані на сайті виробника, а SecurityScorecard додатково описала технічні ознаки зламу.
Експерти нагадують, що китайські структури не вперше будують ORB-мережі на базі зламаних роутерів: раніше про подібні кампанії повідомляли, зокрема, щодо APT31, яку пов’язують із китайською розвідкою.
Раніше dev.ua писав про те, як уряд США розглядає можливість повної заборони роутерів TP-Link після більш ніж річного ретельного вивчення з боку кількох відомств. Заборона пропонується Міністерством торгівлі за підтримки Міністерств юстиції, оборони, внутрішньої безпеки та інших. Білий дім стурбований національною безпекою через тісні зв’язки TP-Link з Китаєм.
