Mii de routere Asus, în majoritate dispozitive la sfârșitul ciclului de viață sau învechite, au fost piratate și se află sub controlul unui grup suspectat a fi afiliat statului chinez, care nu și-a dezvăluit încă intențiile cu privire la compromiterea în masă, au afirmat cercetătorii de la compania de securitate cibernetică SecurityScorecard.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Dispozitive compromise pe tot globul, dar nu în China
Atacurile cibernetice vizează în principal sau exclusiv modele de routere Asus, toate fiind deja scoase din producție de către producător, ceea ce înseamnă că nu mai primesc patch-uri de securitate, au declarat cercetătorii de la SecurityScorecard, potrivit BleepingComputer. Până în prezent, nu este clar ce fac atacatorii după ce preiau controlul asupra dispozitivelor. SecurityScorecard a numit operațiunea WrtHug.
În ultimele șase luni, căutarea dispozitivelor ASUS compromise în cadrul operațiunii WrtHug a identificat „aproximativ 50.000 de adrese IP unice” în întreaga lume.
Majoritatea dispozitivelor compromise au adrese IP situate în Taiwan, în timp ce altele sunt distribuite în Asia de Sud-Est, Rusia, Europa Centrală și Statele Unite.
Este de remarcat faptul că nu s-au observat probleme în China, ceea ce ar putea indica un atacator din această țară, dar cercetătorii nu au găsit dovezi suficiente pentru o atribuire cu grad ridicat de încredere.
Routerele folosite pentru spionaj și mascarea atacurilor
SecurityScorecard a precizat că suspectează că dispozitivele compromise sunt utilizate în mod similar cu cele găsite în rețelele ORB (operational relay box), pe care hackerii le utilizează în principal pentru a desfășura activități de spionaj, pentru a-și ascunde identitatea.
Routerele de consum sunt un ascunziș ideal pentru hackeri. Echipamentele ieftine rulează adesea versiuni de Linux care, la rândul lor, pot rula malware care funcționează în fundal. Hackerii se conectează apoi la routere pentru a desfășura activități rău intenționate. În loc să provină din infrastructura și adresele IP pe care apărătorii le cunosc ca fiind ostile, conexiunile provin de la dispozitive cu aspect benign, găzduite de adrese cu reputație de încredere, ceea ce le permite să primească undă verde de la sistemele de apărare de securitate.
Producatorul taiwanez a emis actualizări de securitate
ASUS a emis actualizări de securitate care remediază toate vulnerabilitățile exploatate în atacurile WrtHug, astfel încât proprietarii de routere ar trebui să își actualizeze firmware-ul la cea mai recentă versiune disponibilă.
ASUS a lansat un nou firmware pentru a remedia nouă vulnerabilități de securitate, inclusiv o eroare critică de ocolire a autentificării în routerele cu AiCloud activat.
AiCloud este o funcție de acces la distanță bazată pe cloud, care vine cu multe routere ASUS, transformându-le în servere cloud private pentru streaming media la distanță și stocare în cloud.
Atacatorii la distanță fără privilegii pot exploata această vulnerabilitate prin combinarea vulnerabilităților sistemului de operare în atacuri de complexitate redusă, care nu necesită interacțiunea utilizatorului.
„Pentru a vă proteja dispozitivele, ASUS recomandă insistent tuturor utilizatorilor să își actualizeze imediat firmware-ul routerului la cea mai recentă versiune”, a declarat compania într-un aviz publicat luni.
„Actualizați routerul cu cel mai nou firmware. Vă încurajăm să faceți acest lucru atunci când devine disponibil un nou firmware”.
Recomandări pentru routerele care nu mai beneficiază de update de firmware
Dacă dispozitivul nu mai beneficiază de asistență, utilizatorilor li se recomandă să îl înlocuiască sau cel puțin să dezactiveze funcțiile de acces la distanță.
Deși ASUS nu a specificat ce modele de routere sunt afectate și a menționat doar ce versiuni de firmware remediază vulnerabilitatea, a furnizat măsuri de atenuare pentru utilizatorii cu modele la sfârșitul ciclului de viață care nu vor primi actualizări de firmware.
Pentru a bloca potențialele atacuri fără a-și repara routerele, utilizatorii sunt sfătuiți să dezactiveze orice servicii accesibile de pe Internet, inclusiv accesul la distanță de la WAN, redirecționarea porturilor, DDNS, serverul VPN, DMZ, declanșarea porturilor și FTP, precum și să întrerupă accesul la distanță la dispozitivele care rulează software-ul AiCloud vulnerabil la atacurile CVE-2025-59366.
ASUS a recomandat, de asemenea, luarea de măsuri suplimentare pentru a reduce suprafața de atac și a securiza routerele împotriva potențialelor atacuri, inclusiv utilizarea de parole puternice pentru pagina de administrare a routerului și rețelele wireless.
