Navigation
Les derniers articles
Suivez en direct

WrtHug : 50 000 routeurs ASUS détournés dans une opération globale d’espionnage

Un routeur blanc à antennes sur fond rose avec une silhouette noire de hacker symbolisant un détournement potentiel du réseau.
brève actu
Exploitant des vulnérabilités non corrigées, WrtHug transforme des milliers de routeurs ASUS en un réseau d’espionnage distribué potentiellement pour des acteurs malveillants potentiellement liés à la Chine.

Les routeurs domestiques ASUS, souvent négligés en matière de sécurité, sont au cœur d’une vaste campagne d’espionnage mondial. L’opération WrtHug, révélée par l’équipe STRIKE de SecurityScorecard, a compromis environ 50 000 routeurs à travers le monde.

Cette attaque, qui exploite des vulnérabilités connues, met en lumière les risques liés aux appareils en fin de vie (EoL) et souligne l’importance d’une vigilance constante en matière de cybersécurité.

Vulnérabilités ciblées et méthodes d’attaque sophistiquées

Rapport complet de l'Operation WrtHug (source SecurityScorecard)
Rapport complet de l’Operation WrtHug (source SecurityScorecard)

L’opération WrtHug se concentre principalement sur les routeurs ASUS WRT, utilisant des failles de sécurité connues sous le nom de « Nth day vulnerabilities ». Ces failles, bien que publiquement connues, n’ont pas été corrigées sur les appareils en fin de vie, rendant ces derniers vulnérables. Parmi les vulnérabilités exploitées, on trouve les CVE-2023-41345, CVE-2023-41346, et CVE-2023-41347, avec un score de 8,8 sur l’échelle de gravité CVSS, selon la STRIKE team de SecurityScorecard. Ces failles permettent aux attaquants de prendre le contrôle total des appareils, les intégrant ainsi à un réseau mondial de routeurs infectés. Un aspect distinctif de cette campagne est l’utilisation d’un certificat TLS auto-signé avec une expiration de 100 ans, qui sert d’indicateur de compromission. Cette méthode ingénieuse permet aux chercheurs de suivre le réseau d’appareils infectés et de comprendre l’ampleur de l’opération.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Les implications géopolitiques de cette attaque sont également potentiellement importantes. Il est estimé que 30 à 50 % des appareils compromis sont situés à Taïwan, avec d’autres clusters significatifs aux États-Unis, en Russie, en Asie du Sud-Est et en Europe. Ce ciblage géographique, combiné aux méthodes utilisées, rappelle d’autres campagnes attribuées à des acteurs étatiques chinois, selon Ars Technica. Les chercheurs spéculent que cette opération pourrait être liée à une autre campagne, « AyySSHush« , ciblant les mêmes vulnérabilités. Cela suggère une possible coordination entre les deux opérations, visant à établir un réseau massif d’appareils infectés pour des activités d’espionnage.

Distribution géographique des routeurs compromis dans le cadre de la campagne WrtHug (source Security Scorecard)
Distribution géographique des routeurs compromis dans le cadre de la campagne WrtHug (source Security Scorecard)

Les chercheurs de SecurityScorecard ont identifié que l’opération WrtHug utilise principalement le service AiCloud d’ASUS pour initialiser l’accès. Ce service, conçu pour offrir un accès distant aux réseaux domestiques, est détourné par les attaquants pour s’introduire dans les systèmes. Une fois à l’intérieur, les signes d’infection peuvent apparaître sur d’autres services des appareils compromis, indiquant une compromission plus profonde. La sophistication de cette attaque montre une évolution des méthodes des hackers, qui passent de simples attaques par force brute à des infections multi-étapes exploitant diverses vulnérabilités. Selon The Register, cette campagne illustre la nécessité pour les professionnels de la sécurité de surveiller non seulement les appareils récents, mais aussi les équipements plus anciens, souvent négligés.

Les résultats de cette enquête montrent l’importance de la mise à jour des appareils et de la surveillance proactive pour prévenir les intrusions sophistiquées parrainées par des États. L’équipe STRIKE de SecurityScorecard souligne que même si les appareils actifs sont souvent patchés, il est crucial de prendre en compte la sécurité de l’ensemble du réseau, y compris les dispositifs obsolètes.

A lire aussi

Cyberattaque : 9 000 routeurs Asus piratés via une faille critique

Une vulnérabilité critique a permis le piratage de milliers de routeurs Asus, transformés en botnet furtif par des cybercriminels très organisés.

Lire la suite sur dcod.ch
Cyberattaque : 9 000 routeurs Asus piratés via une faille critique

Des routeurs détournés en Europe pour propager des SMS de phishing

Des hackers exploitent des routeurs cellulaires pour envoyer des SMS de phishing, visant les utilisateurs européens depuis février 2022.

Lire la suite sur dcod.ch
Des routeurs détournés en Europe pour propager des SMS de phishing

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.