СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.11.2025
#ИБ#Инфра

Операция WrtHug: компрометация маршрутизаторов ASUS WRT с TLS‑сертификатом 100 лет

Ударная группа SecurityScorecard в сотрудничестве с ASUS раскрыла операцию под названием «WrtHug» — системную кампанию компрометации маршрутизаторов ASUS WRT по всему миру. По данным расследования, злоумышленники использовали уязвимости N-го дня в устаревших (end-of-life) моделях, добиваясь повышенных привилегий и формирования распределённой сети заражённых устройств.

Краткие выводы

  • Центральный индикатор компрометации — самоподписанный TLS-сертификат с аномально длинным сроком действия (~100 лет).
  • Ключевой криптографический след: SHA1-хэш сертификата 1894a6800dff523894eba7f31cea8d05d51032b4.
  • Операция использует тактику, именуемую ORB (Operational Relay Box), указывающую на целенаправленную, систематическую реализацию доступа и ретрансляции трафика.
  • Географический фокус — Юго-Восточная Азия, особенно Тайвань: почти половина обнаруженных устройств находится там.
  • Не обнаружено значимых компрометаций в материковом Китае за пределами Гонконга.

Что именно произошло

Злоумышленники нацелились на маршрутизаторы ASUS WRT, оказавшиеся без поддержки и обновлений. Эксплуатация N-day уязвимостей позволяла получить повышенные привилегии на устройствах. После компрометации злоумышленники устанавливали уникальный самоподписанный TLS-сертификат с необычным сроком действия (около 100 лет). Наличие такого сертификата и его SHA1-хэш стали критическими индикаторами для обнаружения и связки инцидентов в разных регионах.

SecurityScorecard и ASUS описали обнаруженные закономерности как свидетельство организованной кампании с элементами, указывающими на возможную координацию и длительные стратегические намерения злоумышленников.

Технические детали и тактика

Ключевые технические наблюдения:

  • Эксплуатация N-day уязвимостей в старых прошивках ASUS WRT.
  • Установка самоподписанного TLS-сертификата с 100-летним сроком действия; SHA1-хэш сертификата: 1894a6800dff523894eba7f31cea8d05d51032b4.
  • Использование ORB — схемы, напоминающей ретрансляцию или шаринг доступа между скомпрометированными устройствами, что даёт преимущества в устойчивости и анонимизации операций злоумышленников.
  • Структура компрометаций свидетельствует не о случайных взломах, а о систематическом развертывании — возможна автоматизация или наличие центрального механизма распространения/координации.

Геополитический контекст и атрибуция

Исходя из распределения скомпрометированных устройств и сопутствующих признаков, операция вписывается в более широкий ряд спонсируемых государством кампаний по вторжению, особенно тех, которые связывают с китайскими злоумышленниками. Однако расследование подчёркивает осторожность при прямой атрибуции: данные указывают на сильную фокусировку на Тайване и Юго-Восточной Азии.

Последствия для SOHO-оборудования и риски

WrtHug демонстрирует рост сложности атак на устройства SOHO (малый офис/дом). Последствия для пользователей и организаций:

  • Заражённые маршрутизаторы могут служить точками ретрансляции для дальнейших атак, маскировки трафика и скрытия C2-инфраструктуры.
  • Уязвимые EoL-устройства существенно повышают риск широкомасштабных компрометаций.
  • Наличие уникального TLS-сертификата как индикатора компрометации упрощает обнаружение, но также свидетельствует о координации злоумышленников.

Рекомендации для организаций и пользователей

Исходя из выявленных угроз, эксперты рекомендуют:

  • Немедленно обновить прошивку маршрутизаторов до последних доступных версий или заменить EoL-устройства на поддерживаемые модели.
  • Проверить наличие аномальных сертификатов и заблокировать сертификат с SHA1-хэшем 1894a6800dff523894eba7f31cea8d05d51032b4 на периметре сети и в системах мониторинга.
  • Мониторить исходящие подключения и поведение устройств: неожиданные ретрансляции трафика, нестандартные порты и соединения с подозрительными инфраструктурами.
  • Сегментировать сеть, минимизировать привилегии устройств SOHO и ограничить административный доступ из внешних сетей.
  • Внедрить регулярную инвентаризацию устройств и политику замены оборудования по завершении поддержки (EoL).

Вывод

Операция «WrtHug» — пример целенаправленной, организованной кампании против SOHO-оборудования с явными признаками координации и долгосрочных намерений злоумышленников. Наличие уникального самоподписанного сертификата TLS с 100-летним сроком действия и конкретным SHA1-хэшем стало ключевым индикатором для раскрытия этой операции. Распространение инцидентов в основном по Тайваню и Юго-Восточной Азии подчёркивает и геополитический, и практический риск. Организациям и пользователям следует срочно пересмотреть защиту своих маршрутизаторов и учитывать подобные сигнатуры при построении системы обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: