كشفت شركة SecurityScorecard عن حملة اختراق إلكترونية واسعة النطاق أُطلق عليها اسم “WrtHug”، استهدفت عشرات الآلاف من أجهزة التوجيه (الراوتر) من طراز ASUS WRT التي انتهى دعمها الفني (EoL) حول العالم، خاصة في تايوان والولايات المتحدة وروسيا. وقد تم رصد أكثر من 50,000 عنوان IP فريد لأجهزة مخترقة خلال الأشهر الستة الماضية، ما يشير إلى حجم التهديد المتزايد الذي تمثله هذه الحملة.
تعتمد الهجمات على استغلال ست ثغرات أمنية معروفة في أجهزة ASUS المنتهية الصلاحية، ما يتيح للمهاجمين السيطرة الكاملة على الأجهزة. ومن اللافت أن جميع الأجهزة المصابة تشترك في شهادة TLS موقعة ذاتيًا تنتهي صلاحيتها بعد 100 عام من أبريل 2022، ما يشير إلى تنسيق دقيق في تنفيذ الهجمات.
خدمة AiCloud بوابة الاختراق
أوضحت SecurityScorecard أن 99% من الخدمات التي تستخدم هذه الشهادة تعود إلى خدمة AiCloud، وهي خدمة خاصة من ASUS تتيح الوصول إلى التخزين المحلي عبر الإنترنت. وقد استغل المهاجمون ثغرات من نوع “n-day” في هذه الخدمة للحصول على صلاحيات عالية على الأجهزة المستهدفة.
تشمل الثغرات المستغلة في هذه الحملة: CVE-2023-41345، CVE-2023-41346، CVE-2023-41347، CVE-2023-41348، CVE-2023-39780، CVE-2024-12912، وCVE-2025-2492. ويُذكر أن الثغرة CVE-2023-39780 قد استُخدمت سابقًا في حملة أخرى تُعرف باسم AyySSHush أو ViciousTrap، ما يثير الشكوك حول وجود صلة بين الحملتين، رغم عدم وجود دليل قاطع حتى الآن.
قائمة الأجهزة المستهدفة
شملت الحملة مجموعة من أجهزة التوجيه من طرازات مختلفة، أبرزها:
– ASUS 4G-AC55U
– ASUS 4G-AC860U
– ASUS DSL-AC68U
– ASUS GT-AC5300
– ASUS GT-AX11000
– ASUS RT-AC1200HP
– ASUS RT-AC1300GPLUS
– ASUS RT-AC1300UHP
مؤشرات على تورط جهات صينية
رغم عدم تحديد الجهة المسؤولة عن الحملة، فإن التركيز الكبير على تايوان، إلى جانب التشابه في الأساليب مع حملات سابقة نفذتها مجموعات قرصنة مرتبطة بالصين، يشير إلى احتمال تورط جهة صينية غير معروفة. وتُظهر هذه الحملة اتجاهاً متزايداً بين الجهات الخبيثة لاستهداف أجهزة الشبكات، خاصة تلك التي لم تعد تتلقى تحديثات أمنية، من أجل بناء شبكات روبوتية (botnets) تستخدم في أنشطة تجسسية أو تخريبية.
وتعتمد هذه الهجمات على تقنيات متقدمة مثل حقن الأوامر وتجاوز المصادقة، ما يسمح بزرع أبواب خلفية دائمة عبر بروتوكول SSH، مع استغلال ميزات شرعية في الأجهزة لضمان استمرار السيطرة حتى بعد إعادة التشغيل أو تحديث النظام.
