Operațiunea cibernetică „WrtHug”, descoperită recent de echipa STRIKE a SecurityScorecard, ridică nivelul de alertă în rândul experților în securitate informatică. Aproximativ 50.000 de routere ASUS WRT aflate la final de viață au fost compromise prin exploatarea unor vulnerabilități vechi, iar cercetătorii cred că în spatele acțiunii s-ar putea afla un actor afiliat Chinei. Atacul se înscrie într-o serie mai largă de campanii similare, al căror scop probabil este facilitarea unor operațiuni de spionaj digital greu de detectat.
Atacatorii din spatele campaniei WrtHug se concentrează exclusiv pe routere ASUS WRT care nu mai primesc actualizări de securitate, deci sunt expuse unor vulnerabilități deja cunoscute. În total, sunt exploatate șase breșe, unele dintre ele cu severitate ridicată. Patru dintre acestea au fost identificate încă din 2023, fiind evaluate cu scorul 8.8 și având la bază injecții de comenzi care permit atacatorului preluarea controlului asupra dispozitivului.
Cercetătorii au corelat aceste vulnerabilități cu anteriora campanie AyySSHush, descoperită în mai, în care peste 8.000 de routere ASUS au fost compromise. Ambele atacuri folosesc aceleași exploatări și aceleași tipuri de dispozitive, ceea ce sugerează că ar putea veni fie de la același grup, fie de la actori coordonați. Totuși, până acum, doar șapte routere sunt afectate simultan de ambele campanii, așa că legătura nu poate fi stabilită definitiv.
De ce suspectează experții implicarea unui actor din China
Distribuția geografică a atacului este unul dintre cele mai puternice indicii. Majoritatea dispozitivelor compromise se află în Taiwan și Asia de Sud-Est, în timp ce în China continentală, Rusia și SUA impactul este minim. Această suprapunere cu ținte specifice campaniilor anterioare atribuite unor grupări APT chineze sugerează o direcție clară.
Spre deosebire de botnetele clasice, operațiunile ORB – „Operational Relay Box” – nu au ca scop generarea de atacuri masive, ci mascarea traficului pentru activități de spionaj, cum ar fi extragerea discretă de informații sensibile.
Indicatorul cel mai clar al compromiterii routerului este apariția unui certificat TLS auto-semnat neobișnuit, valabil timp de 100 de ani începând din aprilie 2022. Toate dispozitivele infectate folosesc aceeași semnătură, ceea ce ușurează identificarea, dar confirmă și profesionalismul operațiunii.
Ce pot face utilizatorii și ce înseamnă acest atac pentru securitatea globală
Atacul subliniază încă o dată pericolul utilizării unor dispozitive care nu mai sunt întreținute de producători. Routerele end-of-life nu primesc patch-uri de securitate și devin ținte ideale pentru actori statali sau grupuri cu resurse avansate. În contextul actual, dispozitivele casnice — aparent banale — pot deveni noduri în rețele sofisticate de compromitere utilizate pentru spionaj, fie la scară regională, fie globală.
Cea mai eficientă măsură pentru utilizatori este să actualizezi firmware-ul acolo unde încă este posibil sau să schimbi complet routerul cu un model care primește în continuare suport tehnic. Cercetătorii au publicat și o listă extinsă de indicatori de compromitere, însă pentru utilizatorul obișnuit cea mai practică soluție rămâne înlocuirea dispozitivului vulnerabil.
Operațiunea WrtHug arată că lupta dintre actorii statali și sistemele de securitate nu se desfășoară doar pe infrastructuri guvernamentale sau industriale, ci ajunge până în casele oamenilor. Într-o lume hiperconectată, un simplu router neactualizat poate fi poarta de intrare într-o campanie globală de spionaj.