Китайские хакеры массово взламывают маршрутизаторы ASUS по всему миру в ходе операции WrtHug

Глобальная кампания по взлому сетевого оборудования под кодовым названием WrtHug затронула тысячи маршрутизаторов ASUS по всему миру. Согласно исследованию SecurityScorecard, проведенному в консультации с производителем, злоумышленники используют уязвимости в проприетарном сервисе AiCloud для получения высоких привилегий на устаревших устройствах ASUS WRT.

Описание

Особенностью атаки стало использование самоподписанного TLS-сертификата с необычно долгим сроком действия - 100 лет, что позволяет идентифицировать скомпрометированные устройства. География атак демонстрирует четкую направленность: почти половина всех зараженных устройств расположена на Тайване, значительное количество - в США, России, а также странах Юго-Восточной Азии и Центральной Европы.

Эксперты обнаружили, что хакеры используют шесть различных уязвимостей: CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 и CVE-2025-2492. При этом три из них напрямую связаны с уязвимостью внедрения команд CVE-2023-39780, которая также используется в другой предполагаемой китайской операции AyySSHush, о которой ранее сообщала GreyNoise.

Аналитики STRIKE отмечают, что целевые устройства, методы и время проведения атаки соответствуют предыдущим кампаниям, связанным с китайскими хакерскими группами. Более того, операция WrtHug демонстрирует схожие тактики, техники и процедуры с недавно раскрытой кампанией LapDogs ORB.

Особую озабоченность вызывает тот факт, что большинство атакованных маршрутизаторов достигли конца жизненного цикла и больше не получают обновлений безопасности. Злоумышленники целенаправленно эксплуатируют известные, но не исправленные уязвимости в этих устройствах. При успешной атаке злоумышленники потенциально могут получить привилегии уровня root или возможности внедрения команд.

Географическое распределение атакованных устройств дает основания предполагать государственную причастность. Тайвань является основной мишенью, на которую приходится 30-50% всех атак. При этом на материковом Китае, за исключением Гонконга, не обнаружено инфицированных устройств. Такая избирательность соответствует геополитическим интересам Китая.

Аналитики SecurityScorecard с низкой и умеренной уверенностью приписывают операцию WrtHug неизвестному исполнителю, связанному с Китаем. Хотя прямое подтверждение отсутствует, совпадение методов и целей с другими китайскими кампаниями позволяет сделать такие выводы. Кроме того, эксперты допускают возможную координацию между операциями WrtHug и AyySSHush, поскольку обе используют одинаковые уязвимости и целевые платформы.

Проблема массового заражения маршрутизаторов становится все более актуальной. Сетевые устройства часто остаются без должного внимания с точки зрения безопасности, что делает их привлекательными целями для злоумышленников. Китайские APT-группы особенно активно используют такие атаки для расширения своего глобального присутствия.

Важно отметить, что все используемые в операции уязвимости уже известны и исправлены ASUS. Компания выпустила соответствующие обновления безопасности. Однако многие пользователи продолжают использовать устаревшие устройства, которые больше не получают исправлений. Специалисты рекомендуют владельцам маршрутизаторов ASUS проверить актуальность прошивки и при необходимости обновить ее через официальные каналы поддержки.

Растущая волна атак на сетевые оборудования требует повышенного внимания к кибербезопасности домашних и офисных сетей. Регулярное обновление прошивок, отказ от использования устаревших устройств и мониторинг сетевой активности могут помочь предотвратить подобные инциденты. Эксперты SecurityScorecard продолжают мониторинг операции WrtHug и связанных с ней активностей.