Китай взломал роутеры по всему миру, включая украинские: как проверить, были ли вы целью

Зачем хакерам нужны роутеры?

Эксперты по кибербезопасности раскрыли детали кампании, которая получила кодовое название "Operation WrtHug". Согласно данным аналитиков SecurityScorecard, под контроль злоумышленников попало не менее 50 000 маршрутизаторов производства Asus. Главной мишенью стали семь моделей, которые производитель уже официально признал устаревшими (End-of-Life) и прекратил выпускать для них обновления безопасности. Именно отсутствие свежих исправлений позволило хакерам беспрепятственно захватывать устройства, используя известные уязвимости, некоторые из которых были обнаружены еще в 2023 году, пишет 24 Канал.

Смотрите также Обновите немедленно: в Google Chrome нашли серьезную уязвимость, которой уже пользуются хакеры

Захваченные устройства не просто взломаны – они интегрированы в так называемую сеть ORB (Operational Relay Box). Это сложная инфраструктура, состоящая из прокси-узлов, которую используют для маскировки настоящего источника кибератак. Фактически, хакеры "прогоняют" свой трафик через роутер пользователя, который ничего не подозревает. Это позволяет им проводить шпионские операции против государственных учреждений и критической инфраструктуры, скрывая свои следы за IP-адресами обычных граждан.

География атаки достаточно предсказуема:

• Больше всего пострадавших устройств обнаружено в Тайване и странах Юго-Восточной Азии, что, по мнению экспертов, четко указывает на интересы китайской разведки.
• Меньшее количество инфицированных гаджетов найдено в США и Европе.
• Судя по опубликованной карте, зараженные роутеры есть и в Украине.

Карта зараженных устройств показывает цели в Киеве, Львове, Виннице, Одессе, Крыму / Фото SecurityScorecard

Особенностью этой кампании является то, что злоумышленники действуют максимально тихо. В отличие от обычных ботнетов, которые "кладут" сайты массовыми запросами, эта сеть затаилась в ожидании команд или используется для деликатного сбора информации.

Технический анализ показал, что на захваченных роутерах устанавливается вредоносное программное обеспечение, которое использует самоподписанный TLS-сертификат со сроком действия в 100 лет. Это обеспечивает хакерам стабильный и долговременный доступ к системе даже после перезагрузки устройства.

Какие роутеры заражены?

Модели маршрутизаторов Asus, на которых обнаружили китайское вмешательство:

• Asus 4G-AC55U.
• Asus 4G-AC860U.
• Asus DSL-AC68U.
• Asus GT-AC5300.
• Asus GT-AX11000.
• Asus RT-AC1200HP.
• Asus RT-AC1300GPLUS.
• Asus RT-AC1300UHP.

Что делать?

Определить, был ли скомпрометирован маршрутизатор, можно с помощью самоподписного сертификата. Инструкция о том, как его найти, опубликована на сайте производителя.

• Сертификат, который используют злоумышленники, имеет срок действия 2122, что является длительным периодом, которого легитимные сертификаты никогда не имели бы.
• Как издатель, так и субъект в списке сертификатов имеют вид CN=a,OU=a,O=a,L=a,ST=a,C=aa.

Самоподписанный сертификат хакеров имеет некоторые признаки взлома / Фото SecurityScorecard / Отредактировано 24 Каналом

Поскольку ASUS больше не поддерживает эти модели, единственным действенным способом защиты для владельцев такой техники остается ее полная замена на более новые модели, которые регулярно получают обновления прошивки, пишет Ars Technica.

Эта ситуация в очередной раз напоминает об опасности использования "железа", жизненный цикл которого уже завершился, ведь оно становится легкой дверью в цифровую приватность владельцев.