21
Необычный сертификат на 100 лет объединил десятки тысяч устройств ASUS в единый ботнет.
Массовое заражение устаревших маршрутизаторов ASUS стало центром новой скрытной кампании, которая незаметно разворачивалась на протяжении полугода и затронула десятки тысяч устройств по всему миру. Под удар попали роутеры, давно снятые с поддержки, что сделало их удобной целью для злоумышленников, создающих распределённую инфраструктуру из забытых сетевых устройств.
Команда STRIKE из компании SecurityScorecard назвала эту активность операцией WrtHug. Наибольшее число заражённых устройств зафиксировано на Тайване, в США и России, хотя следы присутствуют и в других странах Восточной Азии и Европы. По данным специалистов, в общей сложности выявлено более 50 тысяч уникальных IP-адресов, за которыми стоят скомпрометированные маршрутизаторы, объединённые в единую сеть.
Анализ показал, что эти устройства используют одинаковый самоподписанный TLS-сертификат с необычным сроком действия — сто лет, отсчитываемых с апреля 2022 года. Почти все сервисы, демонстрирующие этот сертификат, относятся к фирменной функции AiCloud, позволяющей удалённо подключаться к локальным накопителям.
Взломы происходят за счёт эксплуатации шести уязвимостей в линейке ASUS WRT, которая давно не получает обновлений. Через эти пробелы удаётся получить привилегированный доступ и закрепиться в системе, что открывает путь к удалённому управлению. Специалисты отмечают, что характер действий напоминает тактику сетей ORB, ранее связывавшихся с группировками из Китая.
Хотя текущая кампания не полностью совпадает с классическим сценарием ORB, набор признаков указывает на общую логику построения инфраструктуры и схожие цели. Дополнительный интерес вызывает то, что одна из уязвимостей, CVE-2023-39780, ранее использовалась другой ботнет-структурой китайского происхождения под названием AyySSHush, также известной как ViciousTrap.
Пересечение выявлено и на уровне заражённых узлов: семь IP-адресов демонстрируют признаки воздействия как WrtHug, так и AyySSHush. Прямых доказательств связи между этими кампаниями нет, однако совпадение векторов взлома оставляет возможность общего происхождения или обмена инструментами в одном экосекторе. Дополняют картину другие ORB-структуры, такие как LapDogs и PolarEdge, которые в последние месяцы тоже активно атаковали маршрутизаторы.
Под удар попали несколько моделей, включая 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP. Все они относятся к устройствам, больше не получающим техническую поддержку, что делает их особенно уязвимыми при появлении новых способов взлома.
Источник атаки пока не установлен, однако широкое внимание злоумышленников к Тайваню, а также сходство методов с прежними операциями, связанными с китайскими группами, формируют предположение о причастности неизвестного участника, действующего в интересах структуры из этого региона. Авторы отчёта подчёркивают, что массовые заражения сетевых устройств становятся всё более заметной тенденцией, а злоумышленники, работающие в этом направлении, действуют продуманно и стремятся расширять присутствие за пределами локальных сетей.
Проникновение достигается последовательным объединением манипуляций с командами и обходов проверки подлинности. Это позволяет внедрять устойчивые механизмы удалённого доступа через SSH, которые продолжают работать даже после перезагрузки оборудования или обновления прошивки. Таким образом, каждая уязвимая точка доступа превращается в долговременную опору для построения распределённой структуры, пригодной для дальнейших операций.
https://www.securitylab.ru/news/566352.phpРазмещено через приложение ЯПлакалъ
yaplakal.com