Como verificar se um router Asus está infectado

Há milhares de routers Asus que fazem parte de uma botnet chinesa, mas os utilizadores podem verificar se estão a salvo.

Milhares de routers Asus antigos foram infectados por um grupo de hackers associados ao Estado chinês e, compreensivelmente, há muitas pessoas que desejam saber se os seus equipamentos estão infectados. Segundo a SecurityScorecard, que descobriu a campanha e lhe deu o nome WrtHug (pdf), os ataques focam-se em pelo menos sete modelos descontinuados que já não recebem actualizações de segurança. Os hackers estão a manter um comportamento discreto, provavelmente para usar estes equipamentos em operações de espionagem futuras.

• Asus Wireless Router 4G-AC55U
• Asus Wireless Router 4G-AC860U
• Asus Wireless Router DSL-AC68U
• Asus Wireless Router GT-AC5300
• Asus Wireless Router GT-AX11000
• Asus Wireless Router RT-AC1200HP
• Asus Wireless Router RT-AC1300GPLUS
• Asus Wireless Router RT-AC1300UHP

O principal sinal de infecção é um certificado TLS autoassinado instalado pelo malware, que surge através de uma janela a pedir ao utilizador que o aceite. Como muitos routers Asus já recorrem a certificados autoassinados para a interface web, a maioria dos utilizadores não estranha o pedido. O certificado malicioso é fácil de identificar: expira em 2122 e os campos do emissor e do sujeito têm apenas CN=a, OU=a, O=a, L=a, ST=a, C=aa. O relatório da SecurityScorecard inclui outros indicadores técnicos para quem quiser verificar mais detalhes.

Os modelos afetados incluem os 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS e RT-AC1300UHP. Como todos são modelos fora de suporte, os especialistas recomendam substituí-los assim que possível. Quem não puder fazê-lo deverá, pelo menos, desactivar funcionalidades como AICloud, administração remota, SSH, UPnP e port forwarding, para reduzir os riscos.

Os routers comprometidos estão localizados principalmente em Taiwan, mas há casos também na Coreia do Sul, Japão, Hong Kong, Rússia, Europa e Estados Unidos. Os investigadores dizem que o padrão é semelhante ao uso chinês de redes ORB - conjuntos de routers infectados usados como intermediários para disfarçar actividades de espionagem. Com acesso administrativo total, os atacantes conseguem encaminhar o seu tráfego através destes dispositivos domésticos, fazendo com que pareça vir de endereços IP legítimos.

Até agora, não foi observado comportamento malicioso activo mas, com tendo acesso total aos equipamentos, isso é um risco que pode alterar-se a qualquer momento.