in Informatique

La Chine utilise 50 000 routeurs ASUS à des fins d'espionnage

by

China usa routers ASUS de usuarios para lanzar ciberataques

J'avoue que j'écris ceci et à l'intérieur je pense à la surréalité de la situation, car il est difficile de croire que nous sommes comme ça en 2025 et que ces choses se produisent, et plus encore, dans une marque comme ASUS, un géant du matériel sans aucun doute. La vérité est que toute l'intrigue est basée sur ce qu'on appelle l'opération WrtHug, qui a révélé à quel point un routeur domestique peut devenir un élément clé d'un réseau mondial conçu pour faciliter l'espionnage et les infrastructures secrètes. Juste une information avant d'entrer dans le vif du sujet : plus de 50 000 unités, de différents modèles, avec différents firmwares, sont concernées sur toute la planète et ont travaillé pour la Chine sans dépenser un seul centime ni avoir à entrer, évidemment, chez vous.

Le plus surréaliste possible est que cette campagne a été révélée grâce à la détection d'un certificat TLS auto-signé partagé entre tous les appareils concernés, un comportement impossible dans un routeur légitime, étant un élément qui nous a permis de découvrir l'ampleur de l'attaque chinoise.

Opération WrtHug, c'est ainsi que la Chine a utilisé les routeurs ASUS de plus de 50 000 utilisateurs pour lancer des attaques à travers la planète

En analysant l’origine et le fonctionnement précis de cette intrusion, nous observons un schéma qui coïncide avec les campagnes précédentes associées à des acteurs ayant des intérêts géopolitiques en Asie. L'opération exploite le service AiCloud, initialement conçu pour permettre l'accès à distance au stockage de l'utilisateur via son routeur ASUS.

Cette commodité a agi comme une surface d’attaque exposée sur les routeurs WRT anciens et moins anciens, mais sans être mise à jour en tant que telle. L'enquête confirme que les vulnérabilités exploitées n'étaient pas inconnues, mais plutôt des bugs publiés il y a des années, ce qui est dramatique car ils permettent tout, depuis les injections de commandes dans le système d'exploitation jusqu'aux contournements d'authentification.

La plupart des modèles compromis se trouvaient en dehors du cycle de mise à jour, ce qui a transformé l'intrusion en un processus de propagation silencieuse à travers des appareils abandonnés, ou lorsque l'utilisateur n'a pas voulu, ou ne sait pas, les mettre à jour. L’histoire devient plus claire lorsque l’on regarde la répartition géographique. Entre 30 et 50 % des routeurs concernés sont concentrés à Taiwan, avec des clusters concernés en Asie du Sud-Est, en Russie, en Europe centrale et aux États-Unis.

Cependant, aucun appareil infecté n’apparaît en Chine continentale. Bien sûr, les Chinois ne sont pas stupides du tout. Cette absence, combinée à la récurrence de vulnérabilités déjà utilisées dans des campagnes comme AyySSHush, renforce le schéma qui lie WrtHug à des opérations visant à créer des réseaux de relais mondiaux à des fins d'espionnage, de dissimulation du trafic et de persistance secrète.

A lire également  SSD PCIe 5.0 avec ventilateur intégré

Que devons-nous vérifier pour nous assurer que notre routeur n'a pas été utilisé dans la parcelle ?

Opération SSLOpération SSL

Une fois l’intrigue révélée et expliquée, il est temps de se concentrer sur ce que nous devrions revoir. La première étape consiste à identifier le modèle de routeur et à confirmer s'il est toujours pris en charge. L'enquête montre que pratiquement tous les appareils compromis étaient d'anciens modèles, abandonnés par ASUS il y a des années. Il est essentiel de revoir le firmware, vérifiez si une version plus récente existe et appliquez-la immédiatement si elle est disponible.

Si le modèle n'est plus pris en charge, la seule position sûre est de le remplacer, c'est-à-dire de passer à la caisse et d'en acheter un nouveau, car la communauté publie rarement un firmware mis à jour en dehors de Merlin. Nous avons peut-être la chance d'en avoir un non officiel qui corrige les vulnérabilités, mais ce n'est pas aussi courant qu'il y paraît, surtout si le modèle n'est pas populaire au sein de la communauté.

Le deuxième élément critique est de vérifier le certificat HTTPS présenté par le routeur. L'attaque se caractérise par l'installation d'un certificat identique auto-signé sur tous les ordinateurs compromis, avec une validité de cent ans et des champs génériques. L'accès à l'interface via HTTPS et la visualisation de ses informations permettent de détecter les falsifications sans avoir besoin d'outils avancés.

Il faut aussi renforcer la configuration interne. Les services tels qu'AiCloud, l'accès Internet à distance, UPnP ou SSH doivent être désactivés s'ils ne sont pas utilisés, car ils ont été des vecteurs d'intrusion répétés. Un mot de passe fort et unique pour l'administration du routeur est essentiel. Enfin, vous devez surveiller son trafic, car si l'appareil présente un trafic sortant étrange, une lenteur ou des connexions vers des destinations inattendues, il est probable qu'il fasse partie d'un réseau opérationnel similaire à celui décrit dans le rapport.

Quels routeurs sont vulnérables et comment pouvons-nous nous protéger s'il n'existe pas de firmware mis à jour pour compliquer son utilisation ?

La Chine utilise les routeurs ASUS des utilisateurs pour lancer des cyberattaquesLa Chine utilise les routeurs ASUS des utilisateurs pour lancer des cyberattaques

Tout d'abord, voyons combien il est évident d'identifier les modèles qui, comme on le sait, ont été utilisés dans le monde entier par la Chine et qui ont été identifiés dans cette opération WrtHug :

  • Routeur sans fil ASUS 4G-AC55U
  • Routeur sans fil ASUS 4G-AC860U
  • Routeur sans fil ASUS DSL-AC68U
  • Routeur sans fil ASUS GT-AC5300
  • Routeur sans fil ASUS GT-AX11000
  • Routeur sans fil ASUS RT-AC1200HP
  • Routeur sans fil ASUS RT-AC1300GPLUS
  • Routeur sans fil ASUS RT-AC1300UHP
A lire également  châssis futuriste qui s'ouvre avec 1 carte

Lorsque l'analyse des choses à faire que nous avons détaillée ci-dessus est terminée, nous pouvons clôturer l'intrigue avec les instructions qu'ASUS lui-même propose pour gérer le HTTPS et les certificats sur ses routeurs. Voici des étapes courtes et utiles pour vérifier l'état de l'appareil et vérifier si le certificat est légitime ou a été falsifié :

  • Accédez au routeur en utilisant HTTP ou HTTPS depuis le navigateur. Si c'est avec le premier, il apparaîtra dans la barre de navigation qu'il n'est pas sûr et en rouge.
  • Entrez Administration et sélectionnez la méthode d'accès locale, en activant HTTPS ou les deux si elle n'est pas activée. Notez le port, vous pouvez le modifier, bien que la valeur par défaut soit généralement 8443.
  • Appliquez les modifications pour que l'option de certificat apparaisse.
  • Entrez à nouveau et dans la même section que précédemment, téléchargez le certificat et appuyez sur Exporter pour générer le fichier cert.tar.
  • Passez en revue les informations du certificat exporté et comparez-les avec celles attendues pour le modèle.
  • Après cela, vous devrez installer le certificat sous Windows ou Linux, pour l'utilisateur actuel (pas pour la machine ou le PC).
  • Lorsque vous arrivez à la fenêtre où installer ledit certificat, cliquez sur Placez tous les certificats dans le magasin suivant et sélectionnez
    Autorisation de certification racine de confiance et cliquez
    Accepter.
  • À partir de là, c'est juste suivant, suivant, suivant et cliquez sur OK.
  • Vous pouvez maintenant entrer votre routeur si vous tapez -> https://www.asusrouter.com:8443 (ou quel que soit le port que vous avez défini).
  • Après vous être reconnecté, rendez-vous dans la section DDNS de votre routeur, cela varie selon le modèle. Accédez à DDNS et voyez si vous utilisez un Let`s Encrypt. Si vous ne l'avez pas, vous devriez, mais d'abord, lire ce guide ASUS pour l'installer, car cela ajoutera beaucoup plus de sécurité si vous n'entrez pas via le réseau local.

L'opération WrtHug confirme ce que tout informaticien sait aujourd'hui : un routeur obsolète est si vulnérable qu'il peut être intégré dans l'une des opérations mondiales les plus discrètes et les plus sophistiquées de ces dernières années. La surveillance, la mise à jour et le remplacement à la fin du support ne sont plus des recommandations, mais des mesures essentielles pour protéger notre réseau domestique. Peut-être que si rien de tout cela ne fonctionne pour vous, acheter un nouveau modèle est la meilleure chose si vous accordez de l'importance à la sécurité en tant que telle, ce qui est déjà pénible, mais… Il n'y a malheureusement plus de vraies solutions.