Ricercatori della sicurezza informatica hanno lanciato l’allarme: decine di migliaia di router Asus sono stati compromessi e sono ora sotto il controllo di un gruppo di hacker, con forti sospetti di legami con lo stato cinese.
Le intenzioni finali degli aggressori rimangono al momento un mistero, ma la portata dell’operazione, battezzata WrtHug, suggerisce una campagna di spionaggio su larga scala.
L’attacco ha preso di mira in modo specifico sette modelli di router Asus, tutti ormai fuori dal ciclo di supporto del produttore e, di conseguenza, non più ricevono aggiornamenti di sicurezza critici.
Secondo gli analisti di SecurityScorecard, che hanno scoperto la campagna, i dispositivi violati sono concentrati in modo significativo a Taiwan, con focolai minori rilevati in Corea del Sud, Giappone, Hong Kong, Russia, Europa centrale e Stati Uniti.
Router obsoleti: il tallone d’Achille della sicurezza domestica
La campagna WrtHug evidenzia in modo drammatico i pericoli associati all’utilizzo di dispositivi di rete non più supportati.
I sette modelli Asus colpiti, infatti, non beneficiano più delle patch di sicurezza che potrebbero chiudere le vulnerabilità sfruttate dagli hacker.
Questo scenario lascia gli utenti finali completamente esposti e all’oscuro delle violazioni in corso.
La mancanza di un supporto continuo da parte dei produttori per i prodotti più vecchi crea un parco dispositivi estremamente vulnerabile, un bersaglio appetibile per gruppi hacker sofisticati, statali e non.
L’ombra lunga delle reti ORB e lo spettro dell’espionaggio
SecurityScorecard sospetta fortemente che i router compromessi vengano utilizzati per costruire una cosiddetta rete ORB, acronimo di Operational Relay Box.
Queste reti, composte da dispositivi domestici e aziendali violati, sono strumenti preziosissimi per le agenzie di intelligence.
Il loro scopo primario è mascherare l’origine delle attività di spionaggio, rendendo estremamente difficile, se non impossibile, risalire agli attaccanti reali.
Il traffico malevolo, infatti, viene instradato attraverso questi router “zombie”, creando uno strato di anonimato che protegge gli hacker.
A differenza delle botnet tradizionali, spesso utilizzate per attacchi DDoS eclatanti o per inviare spam, le reti ORB sono progettate per la clandestinità e la raccolta di informazioni.
“Disporre di questo livello di accesso”, hanno dichiarato i ricercatori, “potrebbe consentire alla minaccia di utilizzare qualsiasi router compromesso a suo piacimento. La nostra esperienza con le reti ORB suggerisce che i dispositivi violati saranno comunemente utilizzati per operazioni coperte e spionaggio”.
Il contesto geopolitico: la Cina e le campagne di hackeraggio tramite router
La tecnica di violare router per creare infrastrutture di spionaggio non è nuova, e il governo cinese è stato più volte associato a tali operazioni.
Già nel 2021, il governo francese aveva avvertito imprese e organizzazioni nazionali che APT31, uno dei gruppi di minaccia più attivi della Cina, era dietro una massiccia campagna di attacchi che utilizzava router hackerati per condurre operazioni di ricognizione.
Solo lo scorso anno, sono venute alla luce almeno tre campagne simili operate da entità cinesi.
Anche i gruppi hacker legati allo stato russo sono stati colti in azioni analoghe, sebbene con minore frequenza.
Nel 2018, attori legati al Cremlino infettarono oltre 500.000 router per uffici e case con il sofisticato malware VPNFilter.
Un gruppo governativo russo è stato anche coinvolto in modo indipendente in un’operazione di hacking router riportata nel 2024.
La concentrazione geografica dei dispositivi Asus violati, con un picco significativo a Taiwan, un territorio rivendicato da Pechino, aggiunge un ulteriore strato di complessità geopolitica all’intera vicenda.
Cosa possono fare gli utenti per proteggersi
Per gli utenti che possiedono uno dei router Asus interessati, le opzioni sono purtroppo limitate.
La misura più sicura e raccomandata è la sostituzione del dispositivo con un modello più recente e ancora supportato dal produttore.
Mentre le aziende e gli enti governativi dovrebbero avere politiche di ciclo di vita dei dispositivi di rete che ne impongono la sostituzione prima che diventino un rischio per la sicurezza.
In assenza di un supporto attivo, gli utenti sono lasciati in una posizione di estrema vulnerabilità, esposti a campagne di hacking sofisticate come WrtHug senza alcuna difesa.
Questo caso funge da monito cruciale per l’intero ecosistema della sicurezza informatica, evidenziando la necessità di una maggiore responsabilità da parte dei produttori nel gestire il fine vita dei propri prodotti e di una maggiore consapevolezza da parte degli utenti finali sui rischi legati all’utilizzo di tecnologia obsoleta in un mondo iperconnesso.
