Operațiunea cibernetică WrtHug a fost identificată de echipa STRIKE a SecurityScorecard, dezvăluind compromiterea a circa 50 000 de routere ASUS WRT aflate la final de viață. Vulnerabilitățile vechi ale acestor dispozitive au fost exploatate în masă, iar cercetătorii suspectează un actor afiliat Chinei, având în vedere tiparele geografice și tehnice ale atacului.

Impactul asupra routerelor ASUS WRT

Atacatorii vizează exclusiv routerele ASUS WRT care nu mai primesc actualizări de securitate. În total, sunt exploatate șase breșe, patru dintre ele fiind cunoscute încă din 2023 și evaluate cu un scor de 8,8. Aceste vulnerabilități permit injecții de comenzi, oferind atacatorului control complet asupra dispozitivului.

Legătura cu alte campanii cibernetice

Cercetătorii au corelat vulnerabilitățile utilizate în WrtHug cu campania AyySSHush, descoperită în mai, în care peste 8 000 de routere ASUS au fost compromise. Ambele operațiuni folosesc aceleași exploatări și se adresează aceluiași tip de echipament, sugerând o posibilă coordonare între grupuri. Totuși, doar șapte routere au fost infectate simultan de ambele campanii, astfel încât legătura nu poate fi confirmată definitiv.

Suspectarea unui actor din China

Distribuția geografică a atacului indică o concentrare majoră în Taiwan și Asia de Sud‑Est, în timp ce în China continentală, Rusia și SUA impactul este redus. Acest model coincide cu țintele vizate de grupările APT chineze în campanii anterioare, consolidând ipoteza unei implicări chineze.

Semnalul de compromitere

Indicatorul cel mai evident al infiltrării este existența unui certificat TLS auto‑semnat, valabil 100 de ani de la aprilie 2022. Toate routerele infectate afișează aceeași semnătură, facilitând detectarea, dar demonstrând și un nivel înalt de profesionalism al operațiunii.

Ce pot face utilizatorii

– Actualizați firmware‑ul routerului, dacă producătorul încă furnizează patch‑uri.
– Înlocuiți routerele ASUS WRT aflate la final de viață cu modele care beneficiază de suport tehnic continuu.
– Verificați prezența certificatului TLS neobișnuit și alte indicatori de compromitere furnizați de cercetători.

Implicarea routerelor end‑of‑life în spionaj digital

Evenimentul evidențiază riscul ca echipamentele casnice neactualizate să devină noduri ale rețelelor de spionaj. Operaţiunile ORB („Operational Relay Box”) nu urmăresc atacuri de tip DDoS, ci maschează traficul pentru extragerea discretă a informaţiilor sensibile.

Importanța monitorizării continue

Operaţiunea WrtHug arată că ameninţările cibernetice nu mai se limitează la infrastructură guvernamentală sau industrială, ci penetrează și mediul rezidenţial. Menținerea unui ciclu de actualizare a firmware‑ului și înlocuirea echipamentelor depășite rămân esenţiale pentru reducerea expunerii la atacuri sofisticate.

Monitorizarea evoluţiilor în domeniul securității routerelor și informarea constantă a utilizatorilor reprezintă factori cheie în limitarea impactului viitoarelor operaţiuni cibernetice.