เราเตอร์ ASUS รุ่นเก่ากว่า 50,000 เครื่อง ถูกแฮกเกอร์เจาะระบบ สร้างเครือข่ายการโจมตี
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เปิดเผยว่า เราเตอร์ ASUS ราว 50,000 เครื่องทั่วโลกตกเป็นเหยื่อการโจมตีแบบซับซ้อน โดยมีเบาะแสชี้ว่าอาจเป็นฝีมือของกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับจีน ตามรายงานของ SecurityScorecard
การโจมตีที่มีชื่อว่า “Operation WrtHug” เจาะจงเป้าหมายไปที่เราเตอร์รุ่น ASUS WRT ที่หมดอายุการรับการสนับสนุน (End-of-Life) โดยใช้ช่องโหว่หลายตัวที่เคยถูกเปิดเผยมาตั้งแต่ปี 2023 เป็นต้นมา อุปกรณ์ที่ถูกโจมตีส่วนใหญ่อยู่ในไทวันและเอเชียตะวันออกเฉียงใต้ ขณะที่จีนแผ่นดินใหญ่ รัสเซีย และสหรัฐอเมริกาได้รับผลกระทบน้อยมาก
ช่องโหว่หลายตัวถูกนำมาใช้พร้อมกัน
กลุ่มแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยทั้งหมด 6 ตัว ได้แก่ ช่องโหว่ประเภท Command Injection ระดับความรุนแรงสูง 4 ตัวจากปี 2023 (CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348) ที่มีคะแนน CVSS อยู่ที่ 8.8 รวมถึง CVE-2024-12912 (คะแนน 7.2) และ CVE-2025-2492 (คะแนน 9.2)
ช่องโหว่เหล่านี้เกี่ยวข้องกับ CVE-2023-39780 ซึ่งเคยถูกเพิ่มเข้าในรายการช่องโหว่ที่ถูกใช้งานจริง (Known Exploited Vulnerabilities) ของ CISA เมื่อเดือนกุมภาพันธ์ และเคยถูกนำมาใช้ในแคมเปญ AyySSHush ที่เจาะเราเตอร์ ASUS ไปแล้วกว่า 8,000 เครื่องเมื่อเดือนพฤษภาคม
เป้าหมายคือการสอดแนมข้อมูล
ที่น่าสนใจคือ นักวิจัยพบอุปกรณ์เพียง 7 เครื่องเท่านั้นที่ถูกโจมตีทั้งสองแคมเปญ แม้ว่าแฮกเกอร์จะใช้ช่องโหว่เดียวกันและเป้าหมายเป็นอุปกรณ์รุ่นเดียวกัน ทำให้ผู้เชี่ยวชาญคาดเดาว่า WrtHug และ AyySSHush อาจเป็นแคมเปญเดียวกันที่พัฒนาต่อเนื่อง หรือเป็นสองแคมเปญจากผู้โจมตีตัวเดียวกัน หรือกลุ่มที่ประสานงานกัน
Bob Rudis รองประธานฝ่ายวิทยาการข้อมูลจาก GreyNoise เคยระบุว่าการโจมตีมีลักษณะของ “ผู้โจมตีที่มีความก้าวหน้าและมีทรัพยากรสูง” และอาจเป็นฝีมือของกลุ่ม “Typhoons” ซึ่งเป็นกลุ่มสอดแนมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน
การโจมตีนี้แตกต่างจากบอตเน็ตทั่วไป เพราะมุ่งเน้นไปที่การสร้าง “Operational Relay Box” (ORB) เพื่อใช้ในกิจกรรมสอดแนมที่ลับขึ้น โดยปกปิดการเข้าชมเครือข่ายเพื่อสนับสนุนงานอย่างการขโมยข้อมูล แทนที่จะโจมตีแบบ DDoS ที่ดังและเห็นได้ชัด
วิธีตรวจสอบและแก้ไข
สัญญาณที่ชัดเจนที่สุดของการติดเชื้อคือการมีใบรับรอง TLS แบบ Self-signed ที่ผิดปกติบนบริการ AiCloud ของอุปกรณ์ เราเตอร์ที่ถูกเจาะจะมีใบรับรองเดียวกันที่มีอายุ 100 ปี นับจากเดือนเมษายน 2022 ซึ่งนักวิจัยระบุว่าเป็นไปไม่ได้