华硕路由器已成为一个名为Cyclops Blink的新兴僵尸网络的目标,近一个月后,该恶意软件被揭露滥用WatchGuard防火墙设备作为获得对被破坏网络的远程访问权限的垫脚石。
根据趋势科技发布的一份新报告,该僵尸网络的“主要目的是为进一步攻击高价值目标构建基础设施”,因为没有一个受感染的主机“属于关键组织,或那些对经济、政治或军事间谍活动有明显价值的组织”。
来自英国和美国的情报机构将Cyclops Blink描述为VPNFilter的替代框架,VPNFilter是另一个利用网络设备的恶意软件,主要是小型办公室/家庭办公室(SOHO)路由器和网络附加存储(NAS)设备。
VPNFilter和Cyclops Blink都被归咎于一个俄罗斯国家支持的黑客组织,被追踪为Sandworm(又名Voodoo Bear),该黑客组织也与一些备受瞩目的入侵有关,包括2015年和2016年对乌克兰电网的攻击、2017年NotPetya攻击,以及2018年对冬奥会的奥林匹克破坏者攻击。
用C语言编写的高级模块化僵尸网络影响了许多华硕路由器型号,该公司承认它正在努力进行更新,以解决任何潜在的利用:
GT-AC5300 固件低于 3.0.0.4.386.xxxx 版本
GT-AC2900 固件低于 3.0.0.4.386.xxxx 版本
RT-AC5300 固件低于 3.0.0.4.386.xxxx 版本
RT-AC88U 固件低于 3.0.0.4.386.xxxx 版本
RT-AC3100 固件低于 3.0.0.4.386.xxxx 版本
RT-AC86U 固件低于 3.0.0.4.386.xxxx 版本
RT-AC68U, AC68R, AC68W, AC68P 固件低于 3.0.0.4.386.xxxx 版本
RT-AC66U_B1 固件低于 3.0.0.4.386.xxxx 版本
RT-AC3200 固件低于 3.0.0.4.386.xxxx 版本
RT-AC2900 固件低于 3.0.0.4.386.xxxx 版本
RT-AC1900P, RT-AC1900P 固件低于 3.0.0.4.386.xxxx 版本
RT-AC87U(寿命终止)
RT-AC66U(寿命终止)
RT-AC56U(寿命终止)
Cyclops Blink除了使用OpenSSL对与指挥和控制(C2)服务器的通信进行加密外,还集成了专门的模块,可以从设备的闪存中进行读写,使其能够实现持久性和恢复出厂设置后继续生存。
第二个侦察模块作为一个渠道,将信息从被黑的设备中传回C2服务器,而一个文件下载组件负责通过HTTPS检索任意的有效载荷。
目前尚不清楚初始访问的确切模式,但据说Cyclops Blink自2019年6月以来已经影响了位于美国、印度、意大利、加拿大和俄罗斯的WatchGuard设备和华硕路由器。一些受影响的主机属于欧洲的一家律师事务所,南欧一家为牙医生产医疗设备的中型实体,以及美国的一家管道公司
由于不经常打补丁和缺乏安全软件,物联网设备和路由器成为利润丰厚的攻击面,趋势科技警告说,这可能导致形成“永恒的僵尸网络”。
研究人员说:“一旦物联网设备感染了恶意软件,攻击者就可以不受限制地访问互联网,下载和部署更多阶段的恶意软件,以进行侦察、间谍活动、代理或其他攻击者想做的事情。”
“在Cyclops Blink的案例中,我们已经看到设备连续被入侵超过30个月(大约两年半时间),并被设置为其他机器人的稳定的命令和控制服务器。”