Operaţiunea cibernetică „WrtHug”, identificată recent de echipa STRIKE din cadrul SecurityScorecard, a ridicat semnificativ nivelul de alertă în rândul specialiştilor în securitate informatică. Aproximativ 50.000 de routere ASUS WRT aflate la final de viaţă au fost compromise prin exploatarea unor vulnerabilităţi vechi, iar experţii consideră posibil ca în spatele campaniei să se afle un actor asociat Chinei. Atacul face parte dintr-o tendinţă mai amplă de operaţiuni similare, orientate probabil spre facilitarea unor activităţi de spionaj digital dificil de depistat.
Atacatorii vizează exclusiv routere ASUS WRT care nu mai beneficiază de actualizări de securitate, deci rămân expuse unor breşe cunoscute. În total sunt exploatate şase vulnerabilităţi, unele dintre ele cu nivel de risc ridicat. Patru au fost documentate încă din 2023 şi au primit scorul 8.8, fiind asociate cu injecţii de comenzi ce permit preluarea controlului total asupra dispozitivului.
Cercetătorii au observat legături între aceste vulnerabilităţi şi campania AyySSHush, descoperită în luna mai, în care au fost compromise peste 8.000 de routere ASUS. Ambele atacuri folosesc aceleaşi metode şi vizează acelaşi tip de echipamente, sugerând implicarea aceluiaşi grup sau a unor actori coordonaţi. Totuşi, doar şapte routere par afectate simultan de ambele campanii, astfel că relaţia exactă rămâne neconfirmată.
Distribuţia geografică a dispozitivelor compromise constituie un indiciu puternic. Majoritatea se află în Taiwan şi Asia de Sud-Est, în timp ce impactul în China continentală, Rusia şi SUA este redus. Această suprapunere cu ţinte caracteristice unor campanii anterioare atribuite grupărilor APT chineze sugerează o direcţie clară a responsabilităţii.
Spre deosebire de botnetele clasice, operaţiunile ORB („Operational Relay Box”) nu urmăresc lansarea de atacuri masive, ci ascunderea traficului folosit în activităţi de spionaj, precum exfiltrarea discretă a datelor sensibile.
Cel mai vizibil semn al compromiterii unui router este apariţia unui certificat TLS auto-semnat neobişnuit, valabil 100 de ani începând cu aprilie 2022. Toate dispozitivele infectate folosesc aceeaşi semnătură, ceea ce facilitează identificarea, dar indică şi gradul ridicat de profesionalism al operaţiunii.
Atacul evidenţiază încă o dată riscurile majore asociate utilizării dispozitivelor care nu mai sunt suportate de producători. Routerele end-of-life, lipsite de patch-uri de securitate, devin ţinte ideale pentru actori statali sau grupări avansate. În prezent, chiar şi echipamentele casnice aparent inofensive pot fi transformate în noduri ale unor reţele sofisticate de compromitere folosite în scopuri de spionaj, la nivel regional sau global.
Cea mai sigură soluţie pentru utilizatori este actualizarea firmware-ului, acolo unde acest lucru mai este posibil, sau înlocuirea dispozitivului cu un model care primeşte în continuare suport oficial. Deşi cercetătorii au publicat o listă amplă de indicatori de compromitere, pentru utilizatorii obişnuiţi schimbarea routerului rămâne cea mai practică măsură.
Operaţiunea WrtHug demonstrează că lupta dintre actorii statali şi mecanismele de securitate cibernetică nu se desfăşoară doar la nivelul infrastructurilor critice, ci ajunge până în locuinţele oamenilor. Într-o lume interconectată, un simplu router neactualizat poate deveni punctul de intrare într-o campanie globală de spionaj.
