Kiterjedt, államilag támogatottnak tűnő kibertámadásra derült fény, az Operation WrtHug keretében. A célkeresztben mintegy 50.000 darab, világszerte üzemelő ASUS router állt, melyek többsége már end-of-life (EOL), azaz már nem kap hivatalos támogatást és frissítést. A támadók több, már ismert, de az érintett eszközökön még nem javított biztonsági rést (ún. Nth-day sebezhetőségeket) használtak ki, hogy beépítsék a routereket egy globális botnetbe. Az azonnali firmware-frissítés és a gyári beállítások visszaállítása kritikus fontosságú minden érintett tulajdonos számára.
Kontextus és előzmények: A SOHO eszközök veszélye
A támadás nem előzmény nélküli: a kis irodai és otthoni (SOHO) hálózati eszközök régóta kedvelt célpontjai a kiberbűnözőknek és az államilag támogatott kémcsoportoknak (APT). Ezek a készülékek gyakran évekig működnek frissítés nélkül, ráadásul közvetlenül kapcsolódnak az internethez, így ideális kapuk a magánhálózatokba. Az ASUS routerek elleni korábbi támadások, mint például az AyySSHush is hasonló technikákat alkalmaztak, melyek során a támadók tartós hozzáférést szereztek az eszközökhöz.
A WrtHug hadművelet az ASUS WRT firmware-t futtató, elsősorban End-of-Life státuszú routerekre összpontosított, kihasználva azt a felhasználói szokást, hogy az elavult eszközöket nem cserélik le, és nem frissítik. A cél: egy kiterjedt kémhálózat kiépítése, amely másodlagos támadások, vagy kibercsata-relék bázisává válhat.
Újdonság lényege: Mi változott?
A WrtHug támadás több Nth-day sebezhetőséget is kombinált, elsősorban a távoli hozzáférést biztosító ASUS AiCloud szolgáltatást kihasználva. Bár a sebezhetőségek (mint a CVE-2023-41345-41348, CVE-2024-12912 és CVE-2025-2492) már nyilvánosak voltak, a támadók sikerrel alkalmazták őket az érintett, nem frissített eszközökön. A sikeresség kulcsa a kitartás és a lopakodás volt.
A behatolás után a hackerek egy egyedi, 100 évre szóló önaláírt TLS-tanúsítványt telepítettek a routerekre. Ez a „digitális ujjlenyomat” tette lehetővé a kiberbiztonsági kutatóknak a globális kampány nyomon követését, és igazolja a támadók hosszú távú szándékát. A kompromittált eszközök a router nem felejtő memóriájában (NVRAM) tárolták a hátsó ajtót, ami azt jelenti, hogy egy egyszerű újraindítás vagy még egy firmware-frissítés sem távolítja el automatikusan a rosszindulatú kódot.
Hatások: Felhasználók, piac és iparág
A felhasználók számára a legfőbb veszélyt az jelenti, hogy a routerük egy globális kémhálózat (Operation Relay Box – ORB) részévé válik. Bár közvetlen adatlopás elsősorban azoknál történt, akik a routerhez csatlakoztatott tárhelyet is használtak (AiCloud), a botnetbe integrált eszközök a következőkre használhatók:
- Kémkedés: Reléállomásként működve nehezítik a támadások forrásának felderítését.
- DDoS támadások: Nagyobb, összehangolt túlterheléses támadások indítására alkalmasak.
- További behatolás: A kompromittált router belső hálózati hozzáférési ponttá válik, amivel a támadók továbbléphetnek más otthoni vagy kisvállalati eszközökre.
A piac és az iparág számára a WrtHug rámutat az IoT- és SOHO-eszközök élettartam-kezelésének súlyos problémájára. A gyártóknak szigorúbban kellene kommunikálniuk az EOL státuszról, és a felhasználóknak sokkal tudatosabbnak kell lenniük a hálózati infrastruktúrájuk frissítésével és cseréjével kapcsolatban. A támadás újabb bizonyítéka annak, hogy az államilag támogatott csoportok egyre inkább mindennapi fogyasztói eszközöket vetnek be a kifinomult kiberhadviselésben.
Fontosabb adatok és érintett sebezhetőségek
| Metrika | Érték |
|---|---|
| Érintett eszközök száma (kb.) | 50.000+ egyedi IP-cím |
| Támadási kampány neve | Operation WrtHug |
| Fő célpont | ASUS WRT, EOL routerek (pl. RT-AC3100, RT-AC3200, GT-AX11000) |
| Kulcsfontosságú sebezhetőségek | CVE-2023-41345, CVE-2024-12912, CVE-2025-2492 (és további Nth-day flvok) |
| A hátsó ajtó jellemzője | 100 éves érvényességű önaláírt TLS-tanúsítvány |
Magyar vonatkozás és teendők
Bár a legtöbb kompromittált eszköz Tajvanon, az Egyesült Államokban és Oroszországban koncentrálódik, a támadás globális, így a magyar felhasználók is érintettek lehetnek, különösen, ha régebbi, már nem támogatott ASUS routert használnak. A forrásként szolgáló HWSW (2025. 11. 24.) is kiemelte a hazai érintettség lehetőségét, és az azonnali beavatkozás szükségességét.
📌 Tipplista: Lépések a védelemért
- Firmware frissítés: Telepítse a legújabb firmware-t az ASUS hivatalos webhelyéről. Még az EOL modellek esetében is érdemes feltenni az utolsó elérhető verziót.
- Gyári beállítások visszaállítása: Mivel a hátsó ajtó az NVRAM-ban rejtőzhet, a
