Een nieuw ontdekte campagne heeft tienduizenden verouderde of end-of-life (EoL) ASUS-routers wereldwijd gecompromitteerd, voornamelijk in Taiwan, de VS en Rusland, om ze aan een enorm netwerk te koppelen.
De routerkapingsactiviteit heeft een codenaam gekregen Operatie WrtHug door het STRIKE-team van SecurityScorecard. Zuidoost-Azië en Europese landen zijn enkele van de andere regio’s waar infecties zijn geregistreerd. De afgelopen zes maanden zijn wereldwijd ruim 50.000 unieke IP-adressen van deze besmette apparaten geïdentificeerd.
De aanvallen omvatten waarschijnlijk het misbruik van zes bekende beveiligingsfouten in afgedankte ASUS WRT-routers om de controle over gevoelige apparaten over te nemen. Het is gebleken dat alle geïnfecteerde routers een uniek, zelfondertekend TLS-certificaat delen met een vervaldatum van 100 jaar vanaf april 2022.
SecurityScorecard zei dat 99% van de diensten die het certificaat presenteren ASUS AiCloud zijn, een eigen dienst die is ontworpen om toegang tot lokale opslag via internet mogelijk te maken.
“Het maakt gebruik van de eigen AiCloud-service met n-day-kwetsbaarheden om hoge privileges te verkrijgen op End-Of-Life ASUS WRT-routers”, zei het bedrijf in een rapport gedeeld met The Hacker News, waarbij de campagne werd toegevoegd, hoewel niet bepaald een Operational Relay Box (ORB), overeenkomsten vertoont met andere aan China gekoppelde ORB’s en botnetnetwerken.
De aanvallen maken waarschijnlijk gebruik van kwetsbaarheden die worden bijgehouden als CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 en CVE-2025-2492 voor proliferatie. Interessant is dat de exploitatie van CVE-2023-39780 ook in verband is gebracht met een ander botnet van Chinese oorsprong genaamd AyySSHush (ook bekend als ViciousTrap). Twee andere ORB’s die zich de afgelopen maanden op routers hebben gericht, zijn LapDogs en PolarEdge.
Van alle geïnfecteerde apparaten zijn zeven IP-adressen gemarkeerd omdat ze tekenen van compromittering vertonen die verband houden met zowel WrtHug als AyySSHush, wat mogelijk de mogelijkheid vergroot dat de twee clusters verwant kunnen zijn. Dat gezegd hebbende, is er geen bewijs dat deze hypothese ondersteunt, afgezien van de gedeelde kwetsbaarheid.
De lijst met routermodellen waarop de aanvallen zijn gericht, vindt u hieronder:
- ASUS draadloze router 4G-AC55U
- ASUS draadloze router 4G-AC860U
- ASUS draadloze router DSL-AC68U
- ASUS draadloze router GT-AC5300
- ASUS draadloze router GT-AX11000
- ASUS draadloze router RT-AC1200HP
- ASUS draadloze router RT-AC1300GPLUS
- ASUS draadloze router RT-AC1300UHP
Het is momenteel niet duidelijk wie er achter de operatie zit, maar de uitgebreide targeting op Taiwan en de overlap met eerdere tactieken die zijn waargenomen in ORB-campagnes van Chinese hackgroepen suggereren dat dit het werk zou kunnen zijn van een onbekende aan China gelieerde actor.
“Dit onderzoek benadrukt de groeiende trend van kwaadwillende dreigingsactoren die zich richten op routers en andere netwerkapparaten bij massale infectieoperaties”, aldus SecurityScorecard. “Deze zijn doorgaans (maar niet uitsluitend) verbonden met Chinese Nexus-actoren, die hun campagnes op een zorgvuldige en berekende manier uitvoeren om hun mondiale bereik uit te breiden en te verdiepen.”
“Door commando-injecties en authenticatie-bypasses aan elkaar te koppelen, zijn bedreigingsactoren erin geslaagd om persistente backdoors via SSH in te zetten, waarbij ze vaak legitieme routerfuncties misbruiken om ervoor te zorgen dat hun aanwezigheid reboots of firmware-updates overleeft.”
