Mii de Routere Asus Compromise de Hackeri Suspecți din China – Ce Trebuie Să Știți

TITLU: Mii de Routere Asus Compromise de Hackeri Suspecți din China – Ce Trebuie Să Știți

CONȘINUT:
Recent, cercetătorii au descoperit că mii de routere Asus sunt controlate de un grup suspectat că ar avea legături cu statul chinez, grup care încă nu și-a dezvăluit intențiile legate de acest atac cibernetic de amploare. Potrivit specialiștilor de la SecurityScorecard, atacul se concentrează, în principal sau exclusiv, asupra a șapte modele de routere Asus, care nu mai sunt suportate de producător și, prin urmare, nu mai primesc actualizări de securitate.

Până în momentul de față, nu este clar ce fac atacatorii după ce preiau controlul dispozitivelor. Totuși, SecurityScorecard a botezat operațiunea sub numele de WrtHug și suspectează că dispozitivele compromise sunt folosite în mod similar cu cele din rețelele ORB (operational relay box), utilizate predominant pentru spionaj și pentru a masca identitatea hackerilor.

“Această capacitate de acces permite actorului de amenințare să utilizeze orice router compromis după cum consideră necesar,” explică SecurityScorecard. “Experiența noastră cu rețelele ORB sugerează că dispozitivele compromise sunt adesea folosite pentru operațiuni sub acoperire și spionaj, spre deosebire de atacurile DDoS și alte tipuri de activități malicioase mai evidente, tipice botneturilor.”

Concentrațiile cele mai mari de routere compromise se află în Taiwan, cu grupuri mai mici în Coreea de Sud, Japonia, Hong Kong, Rusia, Europa Centrală și Statele Unite ale Americii.

Guvernul chinez a fost implicat în crearea unor rețele ORB masive timp de ani de zile. În 2021, guvernul francez a avertizat afacerile și organizațiile naționale despre APT31 – unul dintre cele mai active grupuri de amenințări din China – care a realizat o campanie de atac masiv folosind routere compromise pentru recunoaștere. Anul trecut, au ieșit la iveală cel puțin trei campanii similare operate de China.

Hackerii ruși de stat au fost de asemenea surprinși făcând același lucru, deși nu la fel de frecvent. În 2018, actori afiliați Kremlinului au infectat peste 500.000 de routere destinare birourilor mici și caselor cu malware-ul sofisticat cunoscut sub numele de VPNFilter. Un grup guvernamental rus a fost implicat și într-o operațiune raportată într-unul dintre atacurile asupra routerelor din 2024.

Routerele casnice reprezintă un adăpost ideal pentru hackeri. Aceste dispozitive ieftine utilizează adesea versiuni de Linux care pot rula malware operând în umbră. Hackerii se loghează apoi pe routere pentru a desfășura activități malicioase. Spre deosebire de conexiunile care provin de la infrastructuri și adrese IP cunoscute ca fiind ostile, aceste conexiuni apar de pe dispozitive cu aspect benign, găzduite de adrese cu reputații de încredere, permițându-le astfel să treacă neobservate de apărările de securitate.

În timpul procesului de infectare WrtHug, dispozitivele deschid o casetă de dialog pe dispozitivele conectate care instruiește utilizatorii să instaleze un certificat TLS auto-semnat. Routerele Asus, ca și cele ale multor alți producători, necesită în mod implicit ca utilizatorii să accepte astfel de certificate pentru a cripta conexiunile între un utilizator și dispozitiv atunci când folosesc interfața administrativă bazată pe web. Din obișnuință, utilizatorii aprobă astfel de cereri, ceea ce

TAGURI: routere Asus, hack China, SecurityScorecard, WrtHug, ORB rețele, spionaj cibernetic, malware, VPNFilter, certificat TLS, criptare, securitate cibernetică, atacuri DDoS, botnet, APT31, Taiwan, Coreea de Sud, Japonia, Hong Kong, Rusia, Europa Centrală, Statele Unite

Știință&Tehnică

Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România