Migliaia di router Asus hackerati: una rete fantasma controllata dalla Cina

Una nuova campagna di hacking su larga scala ha messo sotto controllo migliaia di router Asus in tutto il mondo, creando una rete ombra che, secondo i ricercatori, sarebbe gestita da un gruppo legato allo stato cinese. L’operazione è stata battezzata WrtHug dalla società di sicurezza SecurityScorecard, che ha individuato l’attacco su almeno sette modelli di router ormai fuori supporto, quindi privi di aggiornamenti di sicurezza.

Spionaggio su vasta scala

A differenza delle classiche botnet usate per lanciare attacchi DDoS o diffondere malware in modo evidente, qui lo scenario è più subdolo. Gli analisti ipotizzano che questi dispositivi vengano integrati in reti ORB (operational relay box), infrastrutture clandestine utilizzate per attività di spionaggio e operazioni sotto copertura. In pratica, il router domestico di ignari utenti diventa un “nodo pulito” dal quale far passare traffico sospetto, eludendo i controlli che normalmente bloccherebbero IP associati a infrastrutture ostili.

La maggior parte dei dispositivi compromessi si trova a Taiwan, con focolai minori in Corea del Sud, Giappone, Hong Kong, Russia, Europa centrale e Stati Uniti. I modelli coinvolti includono, tra gli altri, i router Asus 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000 e diverse varianti RT-AC della serie 1200 e 1300, tutti prodotti che Asus non aggiorna più.

Il vettore dell’attacco sfrutta funzionalità legate al servizio AICloud, che consente di accedere da remoto ai file di rete. Durante il processo di compromissione, agli utenti compare una finestra che li invita a installare un certificato TLS autofirmato. Molti accettano senza pensarci troppo, perché abituati a vedere richieste simili dall’interfaccia di amministrazione del router. Il certificato malevolo ha dettagli anomali, come una scadenza fissata all’anno 2122 e campi emittente/soggetto riempiti con valori fittizi (“CN=a, OU=a, O=a, L=a, ST=a, C=aa”). Una volta accettato, gli attaccanti ottengono privilegi amministrativi equivalenti a quelli del proprietario del dispositivo.

Una rete ancora dormiente?

Per ora non sono stati osservati payload evidenti o attività massicce in uscita, ma proprio questo ”inquietante silenzio” è ciò che preoccupa gli esperti: chi controlla il router può modificare la configurazione di sistema, instradare traffico, intercettare connessioni o usare il dispositivo come base per operazioni future. In alcuni casi sarebbero stati eseguiti binari volatili a livello di kernel, poi cancellati dopo il riavvio, lasciando solo modifiche di configurazione permanenti. Insomma, si tratterebbe di una colossale macchina da guerra pronta ad entrare in azioni.

Gli utenti che possiedono uno dei modelli coinvolti dovrebbero innanzitutto verificare il certificato TLS del router tramite il pannello web e, in presenza di valori sospetti, considerare seriamente la sostituzione del dispositivo. Gli esperti consigliano di abbandonare router “end of life” e, su qualunque modello, disattivare servizi non essenziali come AICloud, amministrazione remota, SSH esposto su internet, UPnP e inoltro porte non necessario. In un’epoca in cui anche un piccolo router domestico può diventare pedina di una cyberoperazione internazionale, ignorare questi segnali non è più un’opzione.