Làm thế nào để biết bộ định tuyến Asus của bạn có phải là một trong hàng ngàn bị tin tặc nhà nước Trung Quốc tấn công hay không

Các nhà nghiên cứu cho biết hàng nghìn bộ định tuyến Asus đã bị tấn công và nằm dưới sự kiểm soát của một nhóm bị nghi ngờ là nhà nước Trung Quốc nhưng vẫn chưa tiết lộ ý định thỏa hiệp hàng loạt.

Các nhà nghiên cứu từ SecurityScorecard cho biết, cuộc tấn công chủ yếu hoặc độc quyền nhắm vào bảy mẫu bộ định tuyến Asus, tất cả đều không còn được nhà sản xuất hỗ trợ, nghĩa là chúng không còn nhận được các bản vá bảo mật nữa nói rằng. Cho đến nay, vẫn chưa rõ những kẻ tấn công làm gì sau khi giành quyền kiểm soát các thiết b. SecurityScorecard đã đặt tên cho hoạt động là WrtHug.

Tránh xa radar

SecurityScorecard cho biết họ nghi ngờ các thiết bị bị xâm nhập đang được sử dụng tương tự như các thiết bị được tìm thấy trong mạng ORB (hộp chuyển tiếp hoạt động), mạng mà tin tặc chủ yếu sử dụng để tiến hành hoạt động gián điệp nhằm che giấu danh tính của chúng.

“Việc có mức truy cập này có thể cho phép tác nhân đe dọa sử dụng bất kỳ bộ định tuyến bị xâm phạm nào mà họ thấy phù hợp,” SecurityScorecard cho biết. “Kinh nghiệm của chúng tôi với mạng ORB cho thấy các thiết bị bị xâm nhập thường sẽ được sử dụng cho các hoạt động bí mật và gián điệp, không giống như các cuộc tấn công DDoS và các loại hoạt động độc hại công khai khác thường được quan sát từ botnet.”

Các bộ định tuyến bị xâm phạm tập trung ở Đài Loan, với các cụm nhỏ hơn ở Hàn Quốc, Nhật Bản, Hồng Kông, Nga, Trung Âu và Hoa Kỳ.

 

Chính phủ Trung Quốc đã bị bắt quả tang xây dựng mạng lưới ORB khổng lồ trong nhiều năm. Trong 2021, chính phủ Pháp cảnh báo các doanh nghiệp và tổ chức quốc gia rằng APT31—one của các nhóm đe dọa tích cực nhất Trung Quốc— đứng đằng sau một chiến dịch tấn công lớn sử dụng bộ định tuyến bị tấn công để tiến hành trinh sát. Năm ngoái, ít nhất ba ba tương t Các chiến dịch do Trung Quốc điều hành đã đến với ánh sáng.

Tin tặc nhà nước Nga đã bị bắt làm điều tương tự, mặc dù không thường xuyên như vậy. Trong 2018, các diễn viên Điện Kremlin đã lây nhiễm hơn 500.000 bộ định tuyến văn phòng và gia đình nhỏ phần mềm độc hại tinh vi được theo dõi dưới dạng VPNFilter. Một nhóm chính phủ Nga cũng tham gia độc lập vào một hoạt động được báo cáo trong một trong những vụ hack bộ định tuyến năm 2024 được liên kết ở trên.

Router tiêu dùng làm nơi ẩn náu lý tưởng cho tin tặc. Thiết bị rẻ tiền thường chạy các phiên bản Linux, đến lượt nó, có thể chạy phần mềm độc hại hoạt động đằng sau hậu trường. Sau đó, tin tặc đăng nhập vào bộ định tuyến để tiến hành các hoạt động độc hại. Thay vì bắt nguồn từ cơ sở hạ tầng và địa chỉ IP mà những người bảo vệ biết là thù địch, các kết nối đến từ các thiết bị có vẻ ngoài lành tính được lưu trữ bởi các địa chỉ có danh tiếng đáng tin cậy, cho phép họ nhận được đèn xanh từ các cơ quan bảo vệ an ninh.

Trong quá trình lây nhiễm WrtHug, các thiết bị mở một hộp thoại trên các thiết bị được kết nối hướng dẫn người dùng cài đặt chứng chỉ TLS tự ký. Bộ định tuyến Asus, giống như bộ định tuyến của nhiều nhà sản xuất khác, theo mặc định yêu cầu người dùng chấp nhận các chứng chỉ đó để mã hóa kết nối giữa người dùng và thiết bị khi sử dụng giao diện quản trị dựa trên web. Bởi vì người dùng có thói quen phê duyệt các yêu cầu như vậy, họ hiếm khi nghi ngờ bất cứ điều gì là sai. Chứng chỉ tự ký không tuân thủ các thông số kỹ thuật TLS vì người dùng của họ không thể được kiểm tra và không có phương tiện để thu hồi chứng chỉ sau khi chúng bị phát hiện là độc hại.

Chiến dịch WrtHug sử dụng chức năng được cung cấp bởi AICloud, một dịch vụ Asus độc quyền cho phép người dùng truy cập các tệp được lưu trữ trên các máy cục bộ từ Internet.

Cho đến nay, các nhà nghiên cứu SecurityScorecard vẫn chưa thấy bất kỳ hành vi nào sau khi khai thác đến từ các bộ định tuyến bị nhiễm. Marty Kareem, kỹ sư thu thập tín hiệu tại SecurityScorecard, đã viết trong một cuộc phỏng vấn:

Chúng tôi vẫn chưa quan sát thấy bất kỳ trọng tải độc hại nào do tác nhân đe dọa thả xuống để xâm phạm các thiết bị này, mặc dù quyền truy cập của chúng tôi để quan sát nó bị hạn chế vì nó yêu cầu phải lấy một thiết bị bị xâm phạm và nghiên cứu trực tiếp. Có những trường hợp được báo cáo trong đó các tệp nhị phân dễ bay hơi đã bị loại bỏ để thực hiện thay đổi cấp độ hạt nhân và sau đó chúng tự xóa khi khởi động lại, chỉ để lại cấu hình đã thay đổi cần thiết. Cũng có thể tác nhân đã không sử dụng tải trọng nào cả và tận dụng các lỗ hổng để gây ra các thay đổi trực tiếp về hệ điều hành (những điều này khả thi với các lỗ hổng mà chúng tôi đã quan sát thấy trong chiến dịch này). Nhìn chung, còn sớm để xác định chuỗi lây nhiễm chính xác dẫn đến kết quả cuối cùng hoặc kết quả sau khai thác mà chúng tôi đã quan sát thấy – quyền truy cập cấp cao cho phép hoán đổi chứng chỉ và các đặc quyền cấp quản trị viên khác.Nếu tôi có thể thêm một điều nữa, việc giành quyền truy cập quản trị vào thiết bị ở cùng cấp độ với chủ sở hữu thiết bị là A-Lot và không nên xem nhẹ, vì đó là điều mà hầu hết các tác nhân đe dọa đều cố gắng đạt được trong hầu hết các chiến dịch xâm nhập.

Tôi bị nhiễm bệnh à?

Các mô hình bộ định tuyến Asus mà SecurityScorecard biết là được nhắm mục tiêu là: