Egy nemrég felfedezett támadási kampány során világszerte több tízezer elavult vagy életciklusuk végén járó (EoL) ASUS-routert kompromittáltak, főként Tajvanon, az Egyesült Államokban és Oroszországban, hogy egy nagyszabású botnet-hálózat részévé váljanak. A támadássorozatot a SecurityScorecard STRIKE csapata hajtotta végre, és az „Operation WrtHug” nevet kapta. A fertőzéseket Délkelet-Ázsiában és Európában is regisztrálták, az elmúlt fél év során több mint 50 000 egyedi IP-címet azonosítottak, amelyek ezekhez a kompromittált eszközökhöz tartoztak. A támadók hat ismert biztonsági rést használtak ki az érintett ASUS WRT-modelleken, hogy átvegyék az irányítást és minden fertőzött eszköz ugyanazt a 100 évre beállított TLS-tanúsítványt használja, amelynek lejárati idejét 100 évvel 2022 áprilisa utánra állították be. A célzott routerek túlnyomó többsége (99%-a) az ASUS AiCloud-szolgáltatást futtatja, amely lehetővé teszi a helyi adattárolók internetes elérését.
A támadások valószínűleg a következő CVE-ként nyilvántartott sérülékenységek kihasználásával terjednek:
CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 és CVE-2025-2492
Érdekesség, hogy a CVE-2023-39780 kihasználását egy másik, kínai eredetű botnethez, az AyySSHush-hoz is kapcsolták.
A támadások során célba vett routermodellek az alábbiak:
- ASUS vezeték nélküli router 4G-AC55U
- ASUS vezeték nélküli router 4G-AC860U
- ASUS vezeték nélküli router DSL-AC68U
- ASUS vezeték nélküli router GT-AC5300
- ASUS vezeték nélküli router GT-AX11000
- ASUS vezeték nélküli router RT-AC1200HP
- ASUS vezeték nélküli router RT-AC1300GPLUS
- ASUS vezeték nélküli router RT-AC1300UHP
A támadások módszerei hasonlóságot mutatnak más, Kínához köthető botnetkampányokkal (Operational Relay Box-ORB) és bár nincs konkrét bizonyíték, a mintázatok alapján feltételezhető, hogy kínai eredetű lehet a fenyegetés. A támadók parancsinjektálás és hitelesítés-megkerülés módszereket kombinálva olyan tartós SSH-backdoorokat telepítenek a rendszerre, amelyek gyakran a routerek beépített, legitim funkcióit használják ki. Ennek célja, hogy ezek a hátsó kapuk akkor is megmaradjanak, ha a routert újraindítják vagy frissítik a firmware-t.