Une opération silencieuse : compromission des routeurs ASUS
Les routeurs sont souvent considérés comme des dispositifs stables et discrets, passant inaperçus dans nos foyers. Pourtant, une recherche récente a révélé que des routeurs ASUS sont utilisés comme des nœuds dans une opération à distance, faisant de ces appareils des cibles idéales pour les cybercriminels.
La campagne WrtHug
Un constat troublant : selon SecurityScorecard, de nombreux routeurs ASUS affichent le même certificat TLS, valable pendant un siècle. Cela suggère une intervention coordonnée, permettant à ces dispositifs de rester opérationnels sans alerter leurs utilisateurs.
Fonctionnement de WrtHug
Les attaques exploitent des vulnérabilités dans les routeurs ASUS et le service AiCloud, qui permet un accès à distance aux fichiers. Les cybercriminels peuvent alors exécuter des commandes à distance pour modifier les paramètres des routeurs sans aucune action utilisateur, renforçant ainsi la façade invisibilité de leur opération.
Les routeurs en danger
Quels modèles sont concernés ?
SecurityScorecard a listé plusieurs modèles de routeurs ASUS potentiellement compromis, souvent des modèles anciens ou en fin de vie :
- 4G-AC55U
- 4G-AC860U
- DSL-AC68U
- GT-AC5300
- GT-AX11000
- RT-AC1200HP
- RT-AC1300GPLUS
- RT-AC1300UHP
Bien que des mises à jour de sécurité aient été publiées, de nombreux appareils touchés ne reçoivent plus de support, ce qui multiplie les risques.
Répartition géographique des compromis
L’étude révèle que la majorité des routeurs concernés se situent en Asie-Pacifique, notamment à Taïwan, en Corée du Sud, au Japon et à Hong Kong. Des appareils ont également été identifiés en Russie, aux États-Unis et en Europe centrale, ce qui témoigne d’une infrastructure distribuée.
Liens avec la Chine ?
SecurityScorecard ne désigne pas formellement la Chine comme responsable, mais note que les tactiques observées rappellent celles de groupes associés à ce pays. Les chercheurs évoquent une « faible à modérée » confiance que cette opération soit liée à des acteurs chinois, révélant une continuité dans l’utilisation de techniques similaires dans d’autres campagnes.
Que faire si vous possédez un routeur ASUS ?
Il est difficile de déterminer si votre appareil est compromis, mais certaines étapes peuvent être suivies :
- Vérifiez le modèle : Consultez la liste des appareils compromis.
- Mettez à jour le firmware : Téléchargez et installez la dernière version depuis le site d’ASUS.
- Désactivez les services inutilisés : Si vous n’utilisez pas AiCloud, désactivez-le pour réduire les risques.
- Contrôlez l’accès : Examinez régulièrement les connexions et les accès à votre réseau.
- Envisagez un changement : Remplacez votre routeur si celui-ci est obsolète ou ne reçoit plus de mises à jour de sécurité.
Conclusion
L’opération WrtHug illustre comment des dispositifs jugés non problématiques peuvent devenir des outils pour des activités malveillantes. Avec la montée en puissance des cybermenaces, il est crucial de reconsidérer nos pratiques de sécurité concernant nos équipements domestiques. Un bon appareil est celui qui est non seulement efficace, mais aussi sécurisé.

