Các bộ định tuyến của ASUS đã trở thành mục tiêu của một mạng botnet mới ra đời có tên là Cyclops Blink, gần một tháng sau khi nó được tiết lộ phần mềm độc hại đã lạm dụng các thiết bị tường lửa WatchGuard như một bước đệm để truy cập từ xa vào các mạng bị xâm phạm.
Theo một báo cáo mới được công bố bởi Trend Micro, “mục đích chính của mạng botnet là xây dựng cơ sở hạ tầng cho các cuộc tấn công tiếp theo vào các mục tiêu có giá trị cao”, với điều kiện không có máy chủ nào bị nhiễm “thuộc các tổ chức quan trọng hoặc những tổ chức có giá trị rõ ràng về kinh tế, chính trị hoặc gián điệp quân sự. “
Các cơ quan tình báo từ Anh và Mỹ đã mô tả Cyclops Blink là một khuôn khổ thay thế cho VPNFilter, một phần mềm độc hại khác đã khai thác các thiết bị mạng, chủ yếu là bộ định tuyến văn phòng / văn phòng nhỏ (SOHO) và thiết bị lưu trữ gắn mạng (NAS).
Cả VPNFilter và Cyclops Blink đều được cho là do một diễn viên do nhà nước Nga tài trợ được theo dõi là Sandworm (hay còn gọi là Gấu Voodoo), cũng có liên quan đến một số vụ xâm nhập nổi tiếng, bao gồm cả vụ tấn công năm 2015 và 2016 nhằm vào điện lực Ukraine. lưới điện, cuộc tấn công NotPetya năm 2017 và cuộc tấn công của Kẻ hủy diệt Olympic 2018 vào Thế vận hội Olympic mùa đông.
Được viết bằng ngôn ngữ C, mạng botnet mô-đun tiên tiến ảnh hưởng đến một số mẫu bộ định tuyến ASUS, công ty thừa nhận rằng họ đang tiến hành cập nhật để giải quyết mọi khả năng bị khai thác –
Chương trình cơ sở GT-AC5300 theo 3.0.0.4.386.xxxx Chương trình cơ sở GT-AC2900 theo 3.0.0.4.386.xxxx RT-AC5300 Chương trình cơ sở dưới 3.0.0.4.386.xxxx RT-AC88U chương trình cơ sở 3.0.0.4.386.xxxx RT- Chương trình cơ sở AC3100 theo 3.0.0.4.386.xxxx Chương trình cơ sở RT-AC86U theo 3.0.0.4.386.xxxx RT-AC68U, AC68R, AC68W, Chương trình cơ sở AC68P theo 3.0.0.4.386.xxxx RT-AC66U_B1 Chương trình cơ sở 3.0.0.4.386 .xxxx RT-AC3200 firmware trong 3.0.0.4.386.xxxx RT-AC2900 firmware dưới 3.0.0.4.386.xxxx RT-AC1900P, RT-AC1900P firmware dưới 3.0.0.4.386.xxxx RT-AC87U (end-of- vòng đời) RT-AC66U (cuối vòng đời) RT-AC56U (cuối vòng đời)
Cyclops Blink, bên cạnh việc sử dụng OpenSSL để mã hóa thông tin liên lạc với các máy chủ điều khiển và kiểm soát (C2), còn kết hợp các mô-đun chuyên dụng có thể đọc và ghi từ bộ nhớ flash của thiết bị, mang lại cho nó khả năng hoạt động bền bỉ và tồn tại khi đặt lại tại nhà máy.
Mô-đun trinh sát thứ hai đóng vai trò là một kênh để lấy thông tin từ thiết bị bị tấn công trở lại máy chủ C2, trong khi một thành phần tải xuống tệp chịu trách nhiệm truy xuất các tải trọng tùy ý theo tùy chọn thông qua HTTPS.
Kể từ tháng 6 năm 2019, phần mềm độc hại được cho là đã ảnh hưởng đến các thiết bị WatchGuard và bộ định tuyến của Asus đặt tại Hoa Kỳ, Ấn Độ, Ý, Canada và Nga. Một số người dẫn chương trình bị ảnh hưởng thuộc về một công ty luật ở Châu Âu, một tổ chức quy mô vừa sản xuất thiết bị y tế cho nha sĩ ở Nam Âu và một công ty ống nước ở Mỹ.
Với việc các thiết bị IoT và bộ định tuyến đang trở thành bề mặt tấn công béo bở do không thường xuyên vá lỗi và không có phần mềm bảo mật, Trend Micro cảnh báo rằng điều này có thể dẫn đến sự hình thành của “mạng botnet vĩnh cửu”.
Các nhà nghiên cứu cho biết: “Một khi thiết bị IoT bị nhiễm phần mềm độc hại, kẻ tấn công có thể có quyền truy cập internet không hạn chế để tải xuống và triển khai nhiều giai đoạn phần mềm độc hại hơn để do thám, gián điệp, ủy quyền hoặc bất cứ điều gì khác mà kẻ tấn công muốn thực hiện”.
“Trong trường hợp của Cyclops Blink, chúng tôi đã thấy các thiết bị bị xâm phạm trong hơn 30 tháng (khoảng hai năm rưỡi) liên tiếp và đang được thiết lập làm máy chủ điều khiển và ra lệnh ổn định cho các bot khác.”
.
