Kineski haker koji djeluje uz podršku države kompromitovao je desetine hiljada Asus rutera kako bi uspostavio trajnu mrežu za globalne špijunske operacije, saopštava SecurityScorecard.
U okviru naizgled nove Operational Relay Box (ORB) kampanje, nazvane Operation WrtHug (PDF), hakeri su eksploatisali poznate ranjivosti i preuzeli kontrolu nad AiCloud servisom na ruterima, koji korisnicima omogućava pristup lokalnoj memoriji preko interneta.
Eksploatisane ranjivosti uključuju CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348 i CVE-2023-39780 (CVSS 8.8), koje predstavljaju visokorizične probleme komandne injekcije nastale zbog nedovoljnog filtriranja specijalnih karaktera.
Pored toga, haker je viđen kako koristi još dvije ranjivosti AiCloud servisa, CVE-2024-12912 (visoka ozbiljnost, izvršavanje komandi) i CVE-2025-2492 (kritična ranjivost vezana za neispravnu autentikacionu kontrolu).
Na svim kompromitovanim uređajima, većinom zastarjelim modelima, hakeri su instalirali zajednički, samopotpisani TLS sertifikat sa rokom važenja od 100 godina, počevši od aprila 2022, što se može koristiti kao indikator kompromitacije (IoC).
„Kada hakeri kompromituju uređaj, on postaje dio globalne mreže zaraženih rutera. STRIKE tim SecurityScorecard-a identifikovao je preko 50.000 jedinstvenih IP adresa koje pripadaju ovim kompromitovanim uređajima u posljednjih šest mjeseci“, navodi kompanija.
Najveći broj uređaja (između 30% i 50%) nalazi se na Tajvanu, ali su identifikovani i klasteri u SAD-u, Rusiji, Jugoistočnoj Aziji i Evropi.
Ovo je druga kineska ORB operacija koja meta internet-dostupne Asus rutere, nakon mreže AyySSHush otkrivene ranije tokom godine.
„Ova kampanja izgleda kao dio sve većeg broja operacija kineskih hakera koji žele da tiho izgrade masivnu mrežu kompromitovanih uređaja kako bi uspostavili trajno prisustvo i ostali skriveni“, navodi SecurityScorecard.
Bezbjednosna firma identifikovala je samo sedam IP adresa kompromitovanih u obje operacije, WrtHug i AyySSHush, i vjeruje da bi se moglo raditi o jednoj kampanji koja evoluira ili da je isti haker iza obje. Ne isključuju mogućnost da dvije koordinisane grupe rade paralelno.
„Za sada nemamo dovoljno dokaza, osim zajedničkih ranjivosti, da potvrdimo ove pretpostavke. Nastavićemo da pratimo Operation WrtHug kao zasebnu kampanju dok se ne pojave konkretni dokazi“, kaže kompanija.
Sve ranjivosti eksploatisane u ovim kampanjama su zakrpljene i prisutne su uglavnom na zastarjelim i ukinutim modelima, uključujući 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS i RT-AC1300UHP.
Korisnicima se savjetuje da što prije primijene zakrpe za ranjivosti ili da zamijene stare Asus rutere novijim, podržanim modelima.
Izvor: SecurityWeek
