Álcázott támadások, rejtett célok
Bizonyos jelek arra utalnak, hogy a feltört Asus-routereket úgynevezett ORB-hálózatok (operational relay box) részeként használják, amelyek célja a hackerek kilétének álcázása és kémkedési műveletek támogatása. Ezeket a hálózatokat az elkövetők olyan műveletekre használják, amelyek észrevétlenek maradnak, szemben a botnetektől megszokott, látványos túlterheléses támadásokkal. A kínai állam régóta ismert arról, hogy gigászi ORB-hálózatokat épít; 2017-ben például Franciaország figyelmeztetést adott ki a helyi cégek számára, miután az APT31 nevű kínai csoport tömeges routerfeltörési akciót hajtott végre.
Nemcsak Kína, hanem Oroszország is alkalmaz hasonló módszereket. Például 2018-ban az orosz állam több mint 500 000 otthoni és kisvállalati routert fertőzött meg VPNFilter nevű kártevővel. Vagyis az olcsó fogyasztói routerek ideális búvóhelyek, mert Linux-alapú rendszerükön könnyen működik a háttérben futó kártékony szoftver, a támadó pedig onnan indíthat műveleteket anélkül, hogy a forrás gyanússá válna.
Az Asus-routerek sajátosságai
Az Asus-routerek, ahogyan más gyártók termékei is, gyakran arra kérik a felhasználót, hogy az adminisztrációs felülethez önaláírt TLS-tanúsítványt fogadjanak el. A támadók ezt az automatizmust kihasználva felugró ablakot jelenítenek meg a fertőzési folyamat során, és a legtöbben gyanútlanul jóváhagyják a tanúsítványt. Fontos kiemelni, hogy az ilyen önaláírt tanúsítványok nem biztonságosak, hiszen nincs mögöttük valódi hitelesítés, visszavonásuk pedig nem lehetséges.
A WrtHug elnevezésű akció során a támadók az Asus saját AICloud szolgáltatását is kihasználják, amely lehetőséget ad a helyi eszközön tárolt fájlok internetes elérésére. Egyelőre nem lehet tudni, pontosan milyen kártékony tevékenységet folytatnak a támadók, de az adminisztrátori szintű hozzáférés jelentős fenyegetést jelent, hiszen teljes irányítást ad a router felett.
Ezek a routerek veszélyben vannak
Az érintett Asus-routermodellek: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS, RT-AC1300UHP. Az egyik legegyszerűbb módja annak, hogy ellenőrizd, fertőzött-e a routered, ha megnézed a telepített önaláírt tanúsítványt. Amennyiben annak lejárati dátuma 2122, és CN=a, OU=a, O=a, L=a, ST=a, C=aa szerepel a kibocsátó és a tárgy mezőjében, érdemes minél előbb lépni.
Mit tehetsz?
Az elavult, már nem támogatott routereket érdemes mielőbb lecserélni modern, rendszeresen frissített modellekre. Ajánlott kikapcsolni az AICloud szolgáltatást, a távoli adminisztrációs lehetőségeket, az SSH-t, az UPnP-t, a porttovábbítást és minden felesleges szolgáltatást, hogy csökkentsd a támadási felületet. Ez a tanács nemcsak az említett modellekre, hanem más régi eszközökre is érvényes.
