Ribuan router Asus dilaporkan telah diretas oleh kelompok peretas yang diduga terkait pemerintah Tiongkok. Para peneliti keamanan menduga perangkat yang terinfeksi sedang disiapkan untuk operasi spionase di masa depan, meski hingga kini belum terlihat aktivitas lanjutan setelah pengambilalihan perangkat.
Peneliti dari SecurityScorecard menyebut operasi ini sebagai WrtHug dan menemukan bahwa serangan menargetkan tujuh model router Asus yang sudah tidak lagi mendapat dukungan pembaruan keamanan. Kondisi ini membuat perangkat menjadi rentan dan mudah dikendalikan penyerang.
Pergerakan senyap
SecurityScorecard percaya perangkat yang diretas berfungsi mirip jaringan ORB atau Operational Relay Box yang biasa digunakan peretas untuk menyembunyikan identitas saat melakukan aktivitas penyadapan atau akses jarak jauh. Berbeda dari botnet umum yang sering dipakai untuk serangan besar seperti DDoS, perangkat yang dikompromikan di sini lebih cenderung dipakai untuk kegiatan rahasia.
Sebagian besar router terinfeksi berada di Taiwan, sementara sisanya ditemukan di Korea Selatan, Jepang, Hong Kong, Rusia, Eropa Tengah, dan Amerika Serikat.
Kasus seperti ini bukan hal baru. Pemerintah Tiongkok telah beberapa kali terlibat dalam pengembangan jaringan ORB. Pada 2021, Prancis memperingatkan adanya kampanye spionase besar oleh kelompok APT31 yang menggunakan router yang diretas. Serangan serupa juga terdeteksi lagi tahun lalu. Rusia diketahui pernah melakukan hal serupa pada 2018 ketika lebih dari 500 ribu router terinfeksi malware VPNFilter.
Router rumahan sering menjadi target karena mudah ditemukan, murah, dan berbasis Linux sehingga bisa menjalankan malware tanpa terlihat oleh pengguna. Dengan begitu, aktivitas peretas tampak berasal dari perangkat biasa yang dianggap aman oleh sistem keamanan.
Bagaimana infeksi terjadi
Dalam proses serangan WrtHug, router akan memunculkan dialog di perangkat pengguna yang meminta pemasangan sertifikat TLS buatan sendiri atau self-signed certificate. Di banyak router, mengonfirmasi sertifikat ini adalah langkah standar untuk mengakses fitur administrasi, sehingga banyak pengguna secara tidak sadar menyetujuinya.
SecurityScorecard menemukan serangan memanfaatkan layanan Asus AICloud yang memungkinkan akses file secara jarak jauh. Meski sudah banyak perangkat dikendalikan, peneliti belum menemukan bukti bahwa sistem digunakan untuk aksi lanjutan. Ada dugaan bahwa pelaku hanya melakukan perubahan sistem tingkat kernel, lalu menghapus jejaknya setelah reboot agar tetap tidak terdeteksi.
Model router yang terdampak
Berikut daftar model router Asus yang diketahui menjadi target:
Asus 4G-AC55U
Asus 4G-AC860U
Asus DSL-AC68U
Asus GT-AC5300
Asus GT-AX11000
Asus RT-AC1200HP
Asus RT-AC1300GPLUS
Asus RT-AC1300UHP
Jika ingin memeriksa apakah router terinfeksi, pengguna dapat memeriksa sertifikat yang terpasang. Sertifikat palsu memiliki tanggal kedaluwarsa tahun 2122 dan berisi informasi pengenal yang hanya menggunakan huruf a.
SecurityScorecard juga menyediakan beberapa indikator lain untuk membantu pengguna mengenali potensi kompromi. Pengguna disarankan mengganti router yang sudah tidak mendapat pembaruan keamanan. Selain itu, mematikan fitur seperti AICloud, remote access, SSH, port forwarding, UPnP, dan pengaturan administrator jarak jauh dapat membantu menjaga keamanan perangkat IoT dan router lainnya.