Китай зламав тисячі роутерів по всьому світу, включаючи українські: як перевірити, чи були ви ці

Масштабна кібероперація охопила тисячі роутерів по всьому світу, перетворивши звичайні домашні та офісні пристрої на вузли шпигунської мережі. Дослідники виявили складну схему, за якою, ймовірно, стоять державні структури Китаю. Вони використовують чуже обладнання не для банальних DDoS-атак, а для значно тонших і небезпечніших цілей, залишаючись непоміченими місяцями.

Навіщо хакерам потрібні роутери?

Експерти з кібербезпеки розкрили деталі кампанії, яка отримала кодову назву “Operation WrtHug”. Згідно з даними аналітиків SecurityScorecard, під контроль зловмисників потрапило щонайменше 50 000 маршрутизаторів виробництва Asus. Головною мішенню стали сім моделей, які виробник уже офіційно визнав застарілими (End-of-Life) і припинив випускати для них оновлення безпеки. Саме відсутність свіжих виправлень дозволила хакерам безперешкодно захоплювати пристрої, використовуючи відомі вразливості, деякі з яких були виявлені ще у 2023 році.

Захоплені пристрої не просто зламані – вони інтегровані у так звану мережу ORB (Operational Relay Box). Це складна інфраструктура, що складається з проксі-вузлів, яку використовують для маскування справжнього джерела кібератак. Фактично, хакери “проганяють” свій трафік через роутер користувача, який нічого не підозрює. Це дозволяє їм проводити шпигунські операції проти державних установ та критичної інфраструктури, приховуючи свої сліди за IP-адресами звичайних громадян.

Географія атаки досить передбачувана:

• Найбільше постраждалих пристроїв виявлено у Тайвані та країнах Південно-Східної Азії, що, на думку експертів, чітко вказує на інтереси китайської розвідки.
• Менша кількість інфікованих гаджетів знайдена у США та Європі.
• Судячи з опублікованої карти, заражені роутери є й в Україні.

Особливістю цієї кампанії є те, що зловмисники діють максимально тихо. На відміну від звичайних ботнетів, які “кладуть” сайти масовими запитами, ця мережа зачаїлася в очікуванні команд або використовується для делікатного збору інформації.

Технічний аналіз показав, що на захоплених роутерах встановлюється шкідливе програмне забезпечення, яке використовує самопідписаний TLS-сертифікат із терміном дії у 100 років. Це забезпечує хакерам стабільний і довготривалий доступ до системи навіть після перезавантаження пристрою.

Які роутери заражені?

Моделі маршрутизаторів Asus, на яких виявили китайське втручання:

• Asus 4G-AC55U.
• Asus 4G-AC860U.
• Asus DSL-AC68U.
• Asus GT-AC5300.
• Asus GT-AX11000.
• Asus RT-AC1200HP.
• Asus RT-AC1300GPLUS.
• Asus RT-AC1300UHP.

Що робити?

Визначити, чи було скомпрометовано маршрутизатор, можна за допомогою самопідписуваного сертифіката. Інструкція про те, як його знайти, опублікована на сайті виробника.

• Сертифікат, який використовують зловмисники, має термін дії 2122, що є тривалим періодом, якого легітимні сертифікати ніколи не мали б.
• Як видавець, так і суб’єкт у списку сертифікатів мають вигляд CN=a,OU=a,O=a,L=a,ST=a,C=aa.

Оскільки ASUS більше не підтримує ці моделі, єдиним дієвим способом захисту для власників такої техніки залишається її повна заміна на новіші моделі, які регулярно отримують оновлення прошивки, пише Ars Technica.

Ця ситуація вкотре нагадує про небезпеку використання “заліза”, життєвий цикл якого вже завершився, адже воно стає легкими дверима у цифрову приватність власників.