Investigadores de seguridad han alertado sobre el hackeo de miles de routers Asus, presuntamente bajo el control de un grupo vinculado al estado chino. Se desconoce el propósito final de esta intrusión masiva.
El ataque se centra en siete modelos específicos de routers Asus que ya no reciben soporte técnico del fabricante, lo que significa que no se les aplican parches de seguridad. La firma SecurityScorecard, que ha bautizado la operación como WrtHug, investiga el uso que los atacantes están dando a los dispositivos comprometidos.
Posible Uso como Red de Relevo Operacional (ORB)
SecurityScorecard sospecha que los routers hackeados se están utilizando de manera similar a las redes ORB, empleadas por hackers para realizar actividades de espionaje encubriendo su identidad.
“Este nivel de acceso permite al actor de amenazas utilizar cualquier router comprometido como considere oportuno”, señala SecurityScorecard. “Nuestra experiencia con las redes ORB sugiere que los dispositivos comprometidos se utilizarán comúnmente para operaciones encubiertas y espionaje, a diferencia de los ataques DDoS y otros tipos de actividad maliciosa abierta que se observan típicamente en las botnets”.
La mayor concentración de routers comprometidos se encuentra en Taiwán, con focos menores en Corea del Sur, Japón, Hong Kong, Rusia, Europa Central y Estados Unidos.
Se ha detectado al gobierno chino construyendo redes ORB masivas durante años. En 2021, el gobierno francés advirtió a empresas y organizaciones nacionales que el grupo APT31, uno de los grupos de amenazas más activos de China, estaba detrás de una campaña masiva de ataques que utilizaba routers hackeados para realizar tareas de reconocimiento. El año pasado, salieron a la luz al menos tres campañas similares operadas por China.
Hackers vinculados al estado ruso también han empleado tácticas similares, aunque con menor frecuencia. En 2018, actores del Kremlin infectaron más de 500.000 routers de pequeñas oficinas y hogares con un malware sofisticado rastreado como VPNFilter. Un grupo gubernamental ruso también estuvo involucrado de forma independiente en una operación reportada en uno de los hackeos de routers de 2024 mencionados anteriormente.
Los routers domésticos representan un escondite ideal para los hackers. Estos dispositivos económicos a menudo ejecutan versiones de Linux que, a su vez, pueden ejecutar malware que opera en segundo plano. Los hackers luego inician sesión en los routers para llevar a cabo actividades maliciosas. En lugar de originarse en infraestructura y direcciones IP que los defensores saben que son hostiles, las conexiones provienen de dispositivos de apariencia benigna alojados por direcciones con reputaciones confiables, lo que les permite recibir luz verde de las defensas de seguridad.
Durante el proceso de infección de WrtHug, los dispositivos abren un cuadro de diálogo en los dispositivos conectados que indica a los usuarios que instalen un certificado TLS autofirmado. Los routers Asus, como los de muchos otros fabricantes, requieren por defecto que los usuarios acepten dichos certificados para cifrar las conexiones entre un usuario y el dispositivo cuando se utiliza la interfaz administrativa basada en la web. Debido a que los usuarios tienen la costumbre de aprobar tales solicitudes, rara vez sospechan que algo anda mal. Los certificados autofirmados no cumplen con las especificaciones TLS porque sus usuarios no pueden ser examinados y no hay medios para revocar los certificados una vez que se detectan como maliciosos.
La campaña WrtHug utiliza la funcionalidad proporcionada por AICloud, un servicio propietario de Asus que permite a los usuarios acceder a archivos almacenados en máquinas locales desde Internet.
Hasta el momento, los investigadores de SecurityScorecard no han observado ningún comportamiento posterior a la explotación proveniente de los routers infectados.
¿Cómo Saber si mi Router Asus Está Infectado?
Los modelos de routers Asus que SecurityScorecard ha identificado como objetivos son:
- Asus Wireless Router 4G-AC55U
- Asus Wireless Router 4G-AC860U
- Asus Wireless Router DSL-AC68U
- Asus Wireless Router GT-AC5300
- Asus Wireless Router GT-AX11000
- Asus Wireless Router RT-AC1200HP
- Asus Wireless Router RT-AC1300GPLUS
- Asus Wireless Router RT-AC1300UHP
La forma más sencilla de determinar si un router ha sido comprometido es inspeccionar el certificado autofirmado. El certificado utilizado por los atacantes tiene un año de vencimiento de 2122, un lapso de tiempo extenso que los certificados válidos nunca tendrían. Tanto el emisor como el sujeto en la lista de certificados CN=a,OU=a,O=a,L=a,ST=a,C=aa.
El informe de SecurityScorecard enumera otros indicadores que los usuarios pueden examinar para detectar otros signos de compromiso.
Se recomienda encarecidamente a las personas que utilizan routers y otros dispositivos de Internet de las cosas que han llegado al final de su vida útil que los reemplacen por otros que reciban actualizaciones de seguridad periódicas. Deshabilitar AICloud, las capacidades de administrador remoto, SSH, UPnP, el reenvío de puertos y otros servicios innecesarios también es una buena precaución, incluso para los usuarios de otros modelos de routers.
Fuente original: ver aquí