Міжнародна команда дослідників SecurityScorecard зафіксувала велику шкідливу кампанію WrtHug, спрямовану на домашні та SOHO-маршрутизатори Asus. За їхніми оцінками, вже скомпрометовано близько 50 000 пристроїв, переважно застарілих моделей лінійок AC та AX. Це одна з найпомітніших цільових атак на інфраструктуру домашніх роутерів за останні роки.
Масштаби атаки на маршрутизатори Asus та географія інфікування
Найбільша концентрація заражених роутерів Asus, за даними SecurityScorecard, припадає на Тайвань. Значна кількість скомпрометованих пристроїв виявлена також у країнах Південно-Східної Азії, Росії, Центральної Європи та США. Така картина відповідає поширеності маршрутизаторів Asus у сегменті домашніх і невеликих офісів.
Примітною деталлю є те, що жодних підтверджених випадків зараження в Китаї не виявлено, попри значну частку цього бренду на локальному ринку. Дослідники розглядають це як непрямий можливий індикатор причетності до кампанії груп, пов’язаних із КНР, однак підкреслюють: наявних технічних артефактів недостатньо для надійної атрибуції, а будь-які висновки наразі залишаються гіпотезами.
Технічний аналіз WrtHug: як зламують роутери Asus
Експлуатація уразливостей у прошивці Asus
Атака WrtHug базується на використанні кількох відомих уразливостей прошивки маршрутизаторів Asus, зокрема пов’язаних із впровадженням команд (command injection) та помилками в механізмах веб-керування. Основною мішенню стають роутери з застарілою та давно не оновлюваною прошивкою — типова ситуація для IoT- та SOHO-пристроїв.
Окремий акцент робиться на критичній уразливості у компоненті віддаленого доступу, про яку Asus попереджала ще в квітні поточного року. Ця помилка дозволяла зловмиснику віддалено та без аутентифікації виконувати команди на пристрої через спеціально сформований HTTP-запит за умови активованої функції AiCloud.
AiCloud як основний вектор початкового доступу
Функція Asus AiCloud перетворює маршрутизатор на приватний «хмарний» сервер, що надає доступ до файлів та інших ресурсів локальної мережі через інтернет. Саме цей сервіс, за оцінкою SecurityScorecard, став ключовою точкою входу для операторів WrtHug.
За наявності вразливої конфігурації та відсутності останніх патчів безпеки зловмисники отримують початковий доступ до роутера через AiCloud, після чого розгортають власний шкідливий функціонал. Важливо, що при цьому вони не перепрошивають пристрій, а лише додають до нього свою інфраструктуру керування.
Ознаки компрометації: TLS-сертифікат AiCloud зі строком дії 100 років
Ключовим технічним індикатором участі маршрутизатора в кампанії WrtHug став аномальний TLS-сертифікат AiCloud. На більшості скомпрометованих пристроїв штатний сертифікат замінений на самопідписаний, чия валідність встановлена на 100 років, тоді як типовий строк дії становить близько 10 років.
Саме за цим маркером дослідники ідентифікували приблизно 50 000 унікальних IP-адрес інфікованих роутерів. Серед них — широкий спектр популярних моделей Asus, переважно з застарілих серій AC та AX, які часто продовжують працювати без актуальних оновлень безпеки. Як і в раніше описаній кампанії AyySSHush, оператори WrtHug не закривають використані вразливості, залишаючи пристрої відкритими для інших зловмисників.
Призначення WrtHug: мережа релейних вузлів замість класичного ботнету
На відміну від типової схеми використання зламаних роутерів для DDoS-атак, інфраструктура WrtHug, ймовірно, слугує мережею операційних релейних вузлів (operational relay box). Компрометовані пристрої застосовуються для:
— проксування трафіку через чужі домашні та офісні мережі;
— маскування реального розташування операторів;
— приховування серверів керування (C2) за ланцюжком захоплених вузлів.
Подібні релейні мережі широко використовуються у довготривалих кампаніях шпигунства та таргетованих атаках, де критично важливо зберегти анонімність та стійкість інфраструктури. Саме тому WrtHug становить довгостроковий ризик, навіть якщо пристрій власника зовні працює «як завжди».
Як захистити роутери Asus від WrtHug та подібних атак
Asus уже випустила оновлення прошивки для всіх ідентифікованих уразливостей, пов’язаних із кампанією WrtHug, а також закрила нову критичну уразливість обходу аутентифікації CVE-2025-59367, що стосується моделей DSL-AC51, DSL-N16 та DSL-AC750. Хоча публічних свідчень її активної експлуатації поки немає, досвід подібних інцидентів показує, що такі баги швидко потрапляють до арсеналу зловмисників.
Власникам домашніх та SOHO-роутерів Asus доцільно виконати мінімальний комплекс дій:
— негайно оновити прошивку до останньої версії через офіційний веб-інтерфейс;
— вимкнути або жорстко обмежити віддалений доступ та сервіс AiCloud, якщо вони не критично потрібні;
— замінити стандартні облікові дані адміністратора на унікальні складні паролі і, за можливості, увімкнути двофакторну аутентифікацію;
— перевірити налаштування HTTPS-доступу до роутера та звернути увагу на TLS-сертифікати з підозріло довгим строком дії.
Якщо модель більше не підтримується виробником і не отримує оновлень безпеки, варто розглянути заміну пристрою на актуальний. У крайньому разі потрібно мінімізувати його видимість в інтернеті, зокрема повністю відключити функції віддаленого адміністрування. Регулярне оновлення прошивки, вимкнення зайвих сервісів та базова гігієна паролів суттєво знижують ризик того, що ваш маршрутизатор стане непомітною частиною чужої кібероперації.
