نحوه تشخیص اینکه آیا روتر Asus شما جز هزاران دستگاه هک‌شده توسط هکرهای دولتی چین است

تا کنون، هکرها در حالت کم‌نقش عمل می‌کنند و احتمالاً برای استفادهٔ آینده در انتظارند.

هزاران روتر Asus هک شده‌اند و تحت کنترل یک گروه مشکوک به تعلق به دولت چین قرار دارند؛ این گروه هنوز نیات خود برای این نفوذ گسترده را فاش نکرده است، محققان گزارش دادند.

این حملهٔ هکری عمدتاً یا کاملاً به هفت مدل روتر Asus هدف‌گیری می‌کند؛ تمام این مدل‌ها دیگر توسط سازنده پشتیبانی نمی‌شوند، یعنی دیگر به‌روزرسانی‌های امنیتی دریافت نمی‌کنند، پژوهشگران SecurityScorecard اعلام کردند. تا به‌حال، دقیقاً مشخص نیست پس از به‌دست گرفتن دستگاه‌ها، مهاجمان چه کاری انجام می‌دهند. SecurityScorecard این عملیات را «WrtHug» نامگذاری کرده است.

پنهان ماندن از رادار

SecurityScorecard گمان می‌کند دستگاه‌های به‌دست‌آمده به‌صورت مشابهی با آنچه در شبکه‌های ORB (جعبهٔ رلهٔ عملیاتی) یافت می‌شود، استفاده می‌شوند؛ این شبکه‌ها عمدتاً برای انجام جاسوسی و مخفی‌کردن هویت هکرها به کار می‌روند.

«داشتن این سطح از دسترسی می‌تواند به عامل تهدید این امکان را بدهد که هر روتر به‌دست‌آمده‌ای را طبق نیاز خود استفاده کند»، SecurityScorecard گفت. «تجربهٔ ما با شبکه‌های ORB نشان می‌دهد که دستگاه‌های به‌دست‌آمده معمولاً برای عملیات مخفی و جاسوسی به‌کار می‌روند، بر خلاف حملات DDoS و سایر انواع فعالیت‌های مخرب آشکار که معمولاً از بات‌نت‌ها مشاهده می‌شود.»

روترهای به‌دست‌آمده عمدتاً در تایوان متمرکز هستند و خوشه‌های کوچکتری در کرهٔ جنوبی، ژاپن، هنگ‌کنگ، روسیه، مرکز اروپا و ایالات متحده وجود دارند.

دولت چین به‌مدت سال‌ها در حال ساخت شبکه‌های عظیم ORB بوده است. در سال ۲۰۲۱، دولت فرانسه به کسب‌وکارها و سازمان‌های ملی هشدار داد که گروه تهدیدی APT31 — یکی از فعال‌ترین گروه‌های هکری چین — پشت یک کارزار حملهٔ بزرگ که از روترهای هک‌شده برای انجام شناسایی استفاده می‌کرد، قرار دارد. سال گذشته، حداقل سه کارزار مشابهی که توسط چین راه‌اندازی شده بودند، به‌اطلاع عموم رسید.

هکرهای دولتی روسیه نیز به‌دست‌آمدن چنین امری رسیده‌اند، اگرچه به‌ندرت‌تر. در سال ۲۰۱۸، عوامل کرملین بیش از ۵۰۰٬۰۰۰ روتر کوچک اداری و خانگی را با بدافزار پیشرفته‌ای به‌نام VPNFilter آلوده کردند. یک گروه دولتی روسی نیز به‌طور مستقل در عملیاتی که در یکی از حملات به‌روترهای سال ۲۰۲۴ لینک‌شده در بالا گزارش شد، دخیل بود.

روترهای مصرفی پناهگاهی ایده‌آل برای هکرها فراهم می‌کنند. این تجهیزات ارزان‌قیمت معمولاً نسخه‌هایی از لینوکس را اجرا می‌کنند که می‌توانند بدافزاری را که به‌صورت مخفی عمل می‌کند، میزبانی کنند. سپس هکرها به این روترها وارد می‌شوند تا فعالیت‌های مخرب انجام دهند. به‌جای این‌که ارتباطات از زیرساخت‌ها و آدرس‌های IP که مدافعان آن‌ها را مخرب می‌دانند آغاز شوند، این ارتباطات از دستگاه‌های ظاهراً بی‌خطر و با آدرس‌های معتبر صورت می‌گیرد؛ به‌طوری که سامانه‌های امنیتی این اتصال را با صدور مجوز عبور تأیید می‌کنند.

در طی فرآیند WrtHug، دستگاه‌ها یک پنجرهٔ گفتگو بر روی دستگاه‌های متصل باز می‌کنند که کاربران را به نصب یک گواهی TLS خودامضا هدایت می‌کند. روترهای Asus، همانند بسیاری از تولیدکنندگان دیگر، به‌طور پیش‌فرض از کاربران می‌خواهند تا چنین گواهی‌ها را برای رمزنگاری ارتباط بین کاربر و دستگاه هنگام استفاده از رابط وب‌محور مدیریتی بپذیرند. چون کاربران عادت به پذیرش چنین درخواست‌هایی دارند، به‌ندرت متوجه مشکلی می‌شوند. گواهی‌های خودامضا با مشخصات TLS سازگار نیستند، زیرا کاربران آن‌ها نمی‌توانند تأیید شوند و روشی برای لغو گواهی‌ها پس از شناسایی به‌عنوان مخرب وجود ندارد.

کارزار WrtHug از عملکردی که توسط AICloud، سرویس اختصاصی Asus، فراهم می‌شود، بهره می‌برد؛ این سرویس به کاربران امکان دسترسی به فایل‌های ذخیره‌شده روی دستگاه‌های محلی از طریق اینترنت را می‌دهد.

تا کنون، پژوهشگران SecurityScorecard رفتار پس از بهره‌برداری‌ای که از روترهای آلوده ناشی می‌شود، مشاهده نکرده‌اند. مارتی کریم، مهندس جمع‌آوری سیگنال‌ها در SecurityScorecard، در مصاحبه‌ای نوشت:

ما هنوز هیچ بارگذاری مخرب توسط عامل تهدید برای به‌دست‌گیری این دستگاه‌ها مشاهده نکرده‌ایم، اگرچه دسترسی ما به مشاهدهٔ آن محدود است؛ زیرا نیاز به به‌دست آوردن یک دستگاه به‌دست‌آمده و مطالعهٔ مستقیم آن دارد. مواردی گزارش شده‌اند که در آن باینری‌های متغیر برای اعمال تغییرات در سطح هسته‌ای رها شده‌اند و سپس پس از یک راه‌اندازی مجدد خودشان را پاک کرده‌اند و تنها پیکربندی تغییر یافتهٔ مورد نیاز باقی مانده است. همچنین ممکن است عامل هیچ بارگذاری مخربی استفاده نکرده باشد و با بهره‌گیری از آسیب‌پذیری‌ها، تغییرات مستقیم در سیستم‌عامل ایجاد کرده باشد (این‌ها با آسیب‌پذیری‌هایی که در این کارزار مشاهده کرده‌ایم، قابل‌تحقق هستند). به‌طور کلی، هنوز زود است که زنجیرهٔ دقیق آلوده‌شدن که منجر به نتیجهٔ نهایی می‌شود یا نتایج پس از بهره‌برداری را تعیین کنیم؛ آنچه مشاهده کرده‌ایم دسترسی سطح بالایی است که امکان تعویض گواهی و سایر امتیازات سطح مدیریت را فراهم می‌کند. اگر اجازه‌دهم یک نکتهٔ دیگر اضافه کنم، به‌دست آوردن دسترسی مدیریتی به دستگاه با همان سطح مالک آن مقدار زیادی است و نباید به سادگی نادیده گرفته شود؛ چون این همان هدف اکثر عامل‌های تهدید در کمپین‌های نفوذ است.

آیا من آلوده‌ام؟

مدل‌های روتر Asus که SecurityScorecard می‌داند هدف شده‌اند عبارتند از:

• روتر بی‌سیم Asus 4G‑AC55U
• روتر بی‌سیم Asus 4G‑AC860U
• روتر بی‌سیم Asus DSL‑AC68U
• روتر بی‌سیم Asus GT‑AC5300
• روتر بی‌سیم Asus GT‑AX11000
• روتر بی‌سیم Asus RT‑AC1200HP
• روتر بی‌سیم Asus RT‑AC1300GPLUS
• روتر بی‌سیم Asus RT‑AC1300UHP

آسان‌ترین راه برای تشخیص این‌که آیا یک روتر به‌دست‌آمده است، بررسی گواهی خودامضا است که می‌توان با دنبال کردن دستورالعمل‌های موجود در اینجا انجام داد. گواهی مورد استفاده توسط مهاجمان تا سال ۲۱۲۲ اعتبار دارد، بازه‌ای طولانی که گواهی‌های معتبر هرگز چنین مدتی ندارند. هم ناشر و هم موضوع گواهی، مقدار CN=a, OU=a, O=a, L=a, ST=a, C=aa را نشان می‌دهند.

گزارش SecurityScorecard سایر شاخص‌هایی را که کاربران می‌توانند برای شناسایی علائم دیگر نفوذ بررسی کنند، فهرست می‌کند.

کاربرانی که از روترهای منقضی‌شده و سایر دستگاه‌های اینترنت اشیا استفاده می‌کنند، باید به‌سرعت آن‌ها را با دستگاه‌هایی که به‌روزرسانی‌های امنیتی منظم دریافت می‌کنند، جایگزین کنند. غیرفعال کردن AICloud، قابلیت‌های مدیریت از راه‌دور، SSH، UPnP، فورواردینگ پورت و سایر سرویس‌های غیرضروری نیز یک پیشگیری مؤثر است، حتی برای کاربران سایر مدل‌های روتر.