Migliaia di router Asus sono stati violati e sono sotto il controllo di un presunto gruppo statale cinese che deve ancora rivelare le sue intenzioni per il compromesso di massa, hanno detto i ricercatori.
Secondo i ricercatori di SecurityScorecard, la campagna di hacking prende di mira principalmente o esclusivamente sette modelli di router Asus, che non sono più supportati dal produttore e quindi non ricevono più patch di sicurezza. disse. Finora non è chiaro cosa facciano gli aggressori dopo aver preso il controllo del dispositivo. SecurityScorecard ha chiamato l’operazione WrtHug.
Stare fuori dai radar
SecurityScorecard ha affermato di sospettare che i dispositivi compromessi vengano utilizzati in modo simile ai dispositivi trovati nelle reti ORB (Operational Relay Box), che gli hacker utilizzano principalmente per condurre attività di spionaggio per nascondere la propria identità.
“Avere questo livello di accesso potrebbe consentire a un autore di minacce di utilizzare qualsiasi router compromesso come ritiene opportuno”, ha affermato SecurityScorecard. “La nostra esperienza con le reti ORB suggerisce che i dispositivi compromessi verranno generalmente utilizzati per operazioni segrete e spionaggio, al contrario degli attacchi DDoS e di altri tipi di attività dannose palesi tipicamente osservate dalle botnet.”
I router compromessi sono concentrati a Taiwan, con cluster più piccoli in Corea del Sud, Giappone, Hong Kong, Russia, Europa centrale e Stati Uniti.
Una mappa termica dei dispositivi infetti.
Il governo cinese costruisce da anni enormi reti ORB. Nel 2021, il governo francese ha avvertito le imprese e le organizzazioni nazionali che APT31, uno dei gruppi di minacce più attivi in Cina, era dietro una massiccia campagna di attacchi che utilizzava router compromessi per effettuare riavvii. L’anno scorso sono emerse almeno tre campagne simili guidate dalla Cina.
Gli hacker russi sono stati sorpresi a fare lo stesso, anche se non così frequentemente. Nel 2018, gli attori del Cremlino hanno infettato più di 500.000 router domestici e di piccoli uffici con malware sofisticato tracciato come VPNFilter. Anche un gruppo governativo russo è stato coinvolto in modo indipendente in un’operazione segnalata in uno degli attacchi ai router del 2024 collegati sopra.
