كشفت حملة تجسس إلكتروني جديدة عن اختراق عشرات الآلاف من أجهزة توجيه ASUS القديمة أو التي وصلت إلى نهاية عمرها الافتراضي حول العالم، وتركزت الإصابات بشكل أساسي في تايوان والولايات المتحدة وروسيا، بهدف دمجها في شبكة واسعة.
أطلق فريق STRIKE في SecurityScorecard على نشاط اختطاف أجهزة التوجيه هذا اسم عملية WrtHug. وشملت المناطق الأخرى التي تم تسجيل إصابات فيها جنوب شرق آسيا ودول أوروبية.
عملية WrtHug تستهدف أجهزة توجيه ASUS القديمة
من المرجح أن الهجمات تستفيد من ست ثغرات أمنية معروفة في أجهزة توجيه ASUS WRT التي وصلت إلى نهاية عمرها الافتراضي للسيطرة على الأجهزة المعرضة للخطر. وتم اكتشاف أن جميع أجهزة التوجيه المصابة تشترك في شهادة TLS فريدة ذاتية التوقيع، بتاريخ انتهاء صلاحية محدد بعد 100 عام من أبريل 2022.
وذكرت SecurityScorecard أن 99% من الخدمات التي تقدم هذه الشهادة تتعلق بـ ASUS AiCloud، وهي خدمة مملوكة تتيح الوصول إلى التخزين المحلي عبر الإنترنت.
“تستغل الخدمة المملوكة AiCloud ثغرات أمنية معروفة لاكتساب امتيازات عالية على أجهزة توجيه ASUS WRT التي وصلت إلى نهاية عمرها الافتراضي”، بحسب ما ذكرت الشركة في تقرير، مضيفة أن الحملة، رغم أنها لا تتطابق تمامًا مع مفهوم “صندوق الترحيل التشغيلي” (ORB)، إلا أنها تحمل أوجه تشابه مع شبكات ORB وبرامج البوت نت الأخرى المرتبطة بالصين.
الثغرات المستغلة ونقاط التشابه
من المرجح أن تستغل الهجمات ثغرات أمنية مثل CVE-2023-41345، CVE-2023-41346، CVE-2023-41347، CVE-2023-41348، CVE-2024-12912، و CVE-2025-2492 للتكاثر. ومع ذلك، من اللافت للنظر أن استغلال CVE-2023-39780 تم ربطه أيضًا ببرنامج بوت نت آخر من أصل صيني يُعرف باسم AyySSHush (المعروف أيضًا باسم ViciousTrap). بالإضافة إلى ذلك، استهدفت شبكات ORB أخرى في الأشهر الأخيرة أجهزة توجيه مثل LapDogs و PolarEdge.
ومن بين جميع الأجهزة المخترقة، تم تحديد سبعة عناوين IP تظهر عليها علامات اختراق مرتبطة بكل من WrtHug و AyySSHush، مما قد يثير احتمال ارتباط المجموعتين. ومع ذلك، لا يوجد دليل يدعم هذه الفرضية بخلاف الثغرة الأمنية المشتركة.
نماذج الأجهزة المستهدفة
قائمة نماذج أجهزة التوجيه التي تم استهدافها في الهجمات تشمل:
- ASUS Wireless Router 4G-AC55U
- ASUS Wireless Router 4G-AC860U
- ASUS Wireless Router DSL-AC68U
- ASUS Wireless Router GT-AC5300
- ASUS Wireless Router GT-AX11000
- ASUS Wireless Router RT-AC1200HP
- ASUS Wireless Router RT-AC1300GPLUS
- ASUS Wireless Router RT-AC1300UHP
الجهة المحتملة وراء الهجوم
حتى الآن، لم يتم تحديد الجهة المسؤولة عن العملية بشكل قاطع. ومع ذلك، فإن الاستهداف المكثف لتايوان والتداخل مع التكتيكات السابقة المرصودة في حملات ORB لمجموعات التسلل الصينية، تشير إلى أن الأمر قد يكون من عمل جهة فاعلة غير معروفة مرتبطة بالصين.
“يسلط هذا البحث الضوء على الاتجاه المتزايد للجهات الفاعلة السيئة في مجال التهديدات السيبرانية باستهداف أجهزة التوجيه والأجهزة الشبكية الأخرى في عمليات إصابة جماعية”، وفقًا لـ SecurityScorecard. “غالبًا ما ترتبط هذه الحملات (ولكن ليس حصريًا) بجهات صينية، والتي تنفذ حملاتها بطريقة حذرة ومحسوبة لتوسيع نطاق وصولها العالمي وعمقه.”
“من خلال ربط أوامر الحقن وتجاوزات المصادقة، تمكنت الجهات الفاعلة في مجال التهديدات من نشر أبواب خلفية مستمرة عبر SSH، وغالبًا ما تسيء استخدام ميزات التوجيه الشرعية لضمان بقاء وجودها بعد إعادة التشغيل أو تحديثات البرامج الثابتة.”