Eksperci z SecurityScorecard wsp\u00f3lnie z firm\u0105 Asus ujawnili zorganizowan\u0105 kampani\u0119 cybernetyczn\u0105, w kt\u00f3rej tysi\u0105ce router\u00f3w ASUS po zako\u0144czeniu okresu wsparcia zosta\u0142o przej\u0119tych i przekszta\u0142conych w botnet. <\/p>\n
Atak zyska\u0142 nazw\u0119 \u201eOperacja WrtHug\u201d, odnosz\u0105c\u0105 si\u0119 do oprogramowania AsusWRT obecnego w routerach Asusa. Autorzy kampanii stworzyli infrastruktur\u0119 ukierunkowan\u0105 na operacje szpiegowskie, wykorzystuj\u0105c wygas\u0142e sprz\u0119ty jako elementy du\u017cej sieci przeka\u017anik\u00f3w.<\/p>\n
Zainfekowane routery sta\u0142y si\u0119 w\u0119z\u0142ami po\u015brednicz\u0105cymi w komunikacji. Atakuj\u0105cy kieruj\u0105 przez nie w\u0142asny ruch, maskuj\u0105 swoje po\u0142\u0105czenia podczas w\u0142ama\u0144 i buduj\u0105 z\u0142o\u017cone zaplecze komunikacyjne C2. Struktura przypomina wcze\u015bniej obserwowane projekty klasy ORB (Operational Relay Box), kt\u00f3re wykorzystywano w operacjach powi\u0105zanych ze stron\u0105 chi\u0144sk\u0105.<\/p>\n
Stare podatno\u015bci, nowe mo\u017cliwo\u015bci. Znane luki wykorzystane na szerok\u0105 skal\u0119<\/p>\n
W przej\u0119tych urz\u0105dzeniach wykorzystywano zestaw luk bezpiecze\u0144stwa: CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 oraz CVE-2025-2492. Wszystkie pozostaj\u0105 obecne w urz\u0105dzeniach od d\u0142u\u017cszego czasu. Routery, kt\u00f3re utraci\u0142y wsparcie, nie otrzymywa\u0142y aktualizacji, a cz\u0119\u015b\u0107 u\u017cytkownik\u00f3w nigdy ich nie instalowa\u0142a. Atakuj\u0105cy dysponowali wi\u0119c stabiln\u0105 przestrzeni\u0105 do wdra\u017cania w\u0142asnej infrastruktury.<\/p>\n
<\/p>\n
Operacja WrtHug podkre\u015bla problem utrzymania infrastruktury sieciowej po zako\u0144czeniu wsparcia producenta.<\/p>\n
\n<\/p><\/blockquote>\n
Wed\u0142ug badaczy przej\u0119te modele to mi\u0119dzy innymi 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS oraz RT-AC1300UHP. Liczb\u0119 zainfekowanych urz\u0105dze\u0144 okre\u015blono jako liczon\u0105 \u201ew tysi\u0105cach\u201d. W ka\u017cdym z nich zainstalowano unikalny, w\u0142asnor\u0119cznie podpisany certyfikat TLS z okresem wa\u017cno\u015bci wynosz\u0105cym 100 lat. Badacze podkre\u015blili, \u017ce tak d\u0142ugi okres wa\u017cno\u015bci wskazuje na zaawansowane przygotowanie i skoordynowanie operacji.<\/p>\n
Infrastruktura osadzona w regionie. Dominuje Tajwan i Azja Po\u0142udniowo-Wschodnia<\/p>\n
Zlokalizowane urz\u0105dzenia znajduj\u0105 si\u0119 przede wszystkim na Tajwanie oraz w pa\u0144stwach Azji Po\u0142udniowo-Wschodniej. To w\u0142a\u015bnie tam routery sta\u0142y si\u0119 podstaw\u0105 rozleg\u0142ej infrastruktury przeka\u017anikowej. Z raportu wynika, \u017ce w Chinach kontynentalnych nie odnaleziono zainfekowanych egzemplarzy. Rozmieszczenie geograficzne wpisuje si\u0119 w kierunki, kt\u00f3re od lat s\u0105 przedmiotem nacisku operacji powi\u0105zywanych z pa\u0144stwem chi\u0144skim.<\/p>\n
Badacze zwracaj\u0105 uwag\u0119, \u017ce infrastruktura zbudowana na cudzych routerach pozwala atakuj\u0105cym realizowa\u0107 dzia\u0142ania szpiegowskie w spos\u00f3b trudny do prze\u015bledzenia. Przekierowanie ruchu przez urz\u0105dzenia prywatnych u\u017cytkownik\u00f3w tworzy warstw\u0119 ukrycia, a zarazem platform\u0119 pozwalaj\u0105c\u0105 na ataki na cele o znaczeniu politycznym i gospodarczym.<\/p>\n
Chi\u0144skie podmioty sponsorowane przez pa\u0144stwo<\/p>\n
SecurityScorecard przypisuje kampani\u0119 podmiotom wspieranym przez pa\u0144stwo chi\u0144skie. Badacze opisuj\u0105 sp\u00f3jno\u015b\u0107 dzia\u0142a\u0144, wykorzystanie podatno\u015bci n-day oraz spos\u00f3b zarz\u0105dzania certyfikatami jako elementy charakterystyczne dla operacji pa\u0144stwowych. W ich ocenie skala botnetu oraz spos\u00f3b jego zorganizowania odzwierciedlaj\u0105 d\u0142ugoterminowe przygotowania i koncentracj\u0119 na celach strategicznych.<\/p>\n
Spodoba\u0142o Ci si\u0119? Podziel si\u0119 ze znajomymi!<\/p>\n","protected":false},"excerpt":{"rendered":"Eksperci z SecurityScorecard wsp\u00f3lnie z firm\u0105 Asus ujawnili zorganizowan\u0105 kampani\u0119 cybernetyczn\u0105, w kt\u00f3rej tysi\u0105ce router\u00f3w ASUS po zako\u0144czeniu…\n","protected":false},"author":2,"featured_media":111756,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[1970,113,112,42,38,40,39,41,4272],"class_list":{"0":"post-111755","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-biznes","8":"tag-asus","9":"tag-biznes","10":"tag-business","11":"tag-pl","12":"tag-poland","13":"tag-polish","14":"tag-polska","15":"tag-polski","16":"tag-routery"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@pl\/115587569709699658","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/111755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/comments?post=111755"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/111755\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media\/111756"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media?parent=111755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/categories?post=111755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/tags?post=111755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}