Πολλά routers της ASUS είναι ευάλωτα σε επιθέσεις που χρησιμοποιούν το Cyclops Blink malware. Το συγκεκριμένο κακόβουλο λογισμικό φαίνεται να συνδέεται με τη Ρωσία. Οι εκτεταμένες επιθέσεις ανάγκασαν την εταιρεία να δημοσιεύσει ένα security advisory με συμβουλές για το μετριασμό της απειλής.
Δείτε επίσης: Η Microsoft δημιουργεί εργαλείο για το scan των routers MikroTik για μολύνσεις TrickBot
Το Cyclops Blink malware συνδέεται με τη hacking Sandworm από τη Ρωσία που έχει στοχεύσει στο παρελθόν WatchGuard Firebox και άλλες SOHO network συσκευές.
Το Cyclops Blink χρησιμοποιείται για την εδραίωση persistence στις συσκευές-στόχους, ώστε οι επιτιθέμενοι να μπορούν να έχουν απομακρυσμένη πρόσβαση σε παραβιασμένα δίκτυα.
Πρόκειται για ένα modular malware που μπορεί εύκολα να ενημερωθεί για να στοχεύει νέες συσκευές, ανανεώνοντας συνεχώς το εύρος στόχευσης.
Το Cyclops Blink malware στοχεύει τώρα routers της ASUS
Η Trend Micro προειδοποίησε ότι το κακόβουλο λογισμικό διαθέτει ένα εξειδικευμένο module που στοχεύει αρκετά routers της ASUS, επιτρέποντας στο κακόβουλο λογισμικό να διαβάζει το flash memory για να συλλέγει πληροφορίες σχετικά με κρίσιμα αρχεία, εκτελέσιμα αρχεία, δεδομένα και libraries.
Στη συνέχεια, το Cyclops Blink malware λαμβάνει μια εντολή να τοποθετηθεί στο flash memory και να δημιουργήσει μόνιμο persistence.
Δείτε επίσης: Διακομιστές MySQL χτυπήθηκαν από κακόβουλο λογισμικό Gh0stCringe
Η Trend Micro έχει δημοσιεύσει μια έκθεση στην οποία αναλύει πώς ακριβώς επηρεάζει το malware τα routers της Asus. Για περισσότερες λεπτομέρειες πατήστε εδώ.
Τα στοιχεία μέχρι τώρα, δείχνουν ότι το Cyclops Blink malware εξαπλώνεται ραγδαία, χωρίς να έχει συγκεκριμένους στόχους. Επομένως, οποιοσδήποτε κάτοχος Asus router βρίσκεται σε κίνδυνο.
Όπως είπαμε και παραπάνω, το malware συνδέεται με τη hacking ομάδα Sandworm (επίσης γνωστή ως Voodoo Bear, BlackEnergy και TeleBots) και είναι πιθανό να στοχεύσει routers και άλλων κατασκευαστών στο μέλλον.
Η Sandworm έχει συνδεθεί με άλλες γνωστές επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένης της χρήσης του BlackEnergy malware που οδήγησε στις διακοπές ρεύματος στην Ουκρανία το 2015 και 2016. Επιπλέον, η ομάδα φαίνεται να συνδέεται και με το ransomware NotPetya, το οποίο προκάλεσε απώλειες δισεκατομμυρίων το 2017.
Δείτε επίσης: CISA: Ενημερώνει για άλλες 15 ευπάθειες που είναι γνωστό ότι χρησιμοποιούνται σε επιθέσεις
Ευάλωτες συσκευές ASUS
Η ASUS προειδοποιεί ότι τα ακόλουθα μοντέλα router και οι εκδόσεις firmware είναι ευάλωτα σε επιθέσεις Cyclops Blink:
- GT-AC5300 firmware under 3.0.0.4.386.xxxx
- GT-AC2900 firmware under 3.0.0.4.386.xxxx
- RT-AC5300 firmware under 3.0.0.4.386.xxxx
- RT-AC88U firmware under 3.0.0.4.386.xxxx
- RT-AC3100 firmware under 3.0.0.4.386.xxxx
- RT-AC86U firmware under 3.0.0.4.386.xxxx
- RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
- RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
- RT-AC3200 firmware under 3.0.0.4.386.xxxx
- RT-AC2900 firmware under 3.0.0.4.386.xxxx
- RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Προς το παρόν, η ASUS δεν έχει κυκλοφορήσει νέες ενημερώσεις firmware για προστασία των routers από το Cyclops Blink malware. Ωστόσο, έχει προτείνει τα ακόλουθα μέτρα μετριασμού που μπορούν να χρησιμοποιηθούν για την ασφάλεια συσκευών:
- Επαναφορά της συσκευής σε factory default: Συνδεθείτε στο web GUI, μεταβείτε στο Administration → Restore/Save/Upload Setting, κάντε κλικ στο “Initialize all the settings and clear all the data log” και, στη συνέχεια, κάντε κλικ στο κουμπί Restore.
- Ενημέρωση στο πιο πρόσφατο διαθέσιμο firmware.
- Αλλαγή του προεπιλεγμένου admin password και επιλογή ενός πιο ασφαλούς κωδικού.
- Απενεργοποίηση του Remote Management (απενεργοποιημένο από προεπιλογή, μπορεί να ενεργοποιηθεί μόνο μέσω Advanced Settings).
Εάν χρησιμοποιείτε οποιοδήποτε από τα τρία μοντέλα που έχουν οριστεί ως EOL (end of life), πρέπει να ξέρετε ότι δεν υποστηρίζονται πλέον και επομένως δεν θα λάβουν ενημέρωση firmware. Για να είστε ασφαλείς, πρέπει να αλλάξετε συσκευή.
Πηγή: Bleeping Computer