TechSpot 报道称,一个名为 Cyclops Blink 的“模块化僵尸网络”正在劫持全球许多型号的华硕路由器。 英国国家网络安全中心(NCSC)指出,该恶意软件疑似有俄罗斯背景。 自 2019 年出现以来,它最初针对的是 WatchGuard Firebox 设备。 然而,幕后的Sandworm黑客组织也与NotPetya勒索软件等臭名昭著的网络攻击有关。
PDF 截图(来自:NCSC)
据说 Cyclops Blink 旨在劫持多个华硕路由器,以便将易受攻击的设备用作命令和控制 (C&C) 服务器。
其背后的Sandworm黑客组织在2017年6月开始肆虐全球的大规模勒索软件攻击中造成了数十亿美元的损失。
再往前追溯,2015-2016 年 BlackEnergy 恶意软件曾导致乌克兰停电。
WatchGuardFirebox 设备最初的目标
趋势科技研究人员指出,Cyclops Blink 使用受感染的设备撒下广泛的网络,而不专门针对高价值的政府或外交实体。
两年半前,黑客破坏了一批受感染的设备,试图为威胁行为者创建一个持久的远程节点来访问受感染的网络。
通过这种模块化设计攻击路由软件,攻击者可以轻松更新以发起针对新设备的攻击——例如最近的华硕路由器。
独眼巨人眨眼概述
趋势科技补充说,这些目标似乎对所谓的“网络战”没有独特的价值——“受害者似乎不包括明显有价值的经济、军事或间谍活动目标。”
例如,一些实时命令和控制服务器托管在一家欧洲律师事务所、一家在南欧生产牙科设备的中型公司以及一家美国管道制造商使用的 WatchGuard 设备上。
至于该僵尸网络的确切目的,例如是否用于分布式拒绝服务 (DDoS) 攻击、间谍活动或网络代理,还有待观察。
但更明显的是,Cyclops Blink 是一款相当先进的恶意软件,它专注于持久性以及即使节点的部分基础设施被删除也能继续存在的能力。
恶意软件详细信息
此外,研究人员推测另一家制造商的设备固件已被损坏,但他们目前无法给出确切的结论。 Cyclops Blink 已知使用硬编码 TCP 端口与 C&C 服务器进行通信。
对于每个端口,它都会在 Netfilter Linux 内核防火墙中创建一条新规则,以允许与其进行出口通信。 建立连接后,恶意软件会初始化 OpenSSL 库,然后其核心组件执行一组硬编码模块。
然后,恶意软件将各种参数推送到这些模块,以返回使用核心组件中的 OpenSSL 函数加密的数据,然后将其发送回 C&C 服务器。
综合分析,Cyclops Blink 看起来非常像 2018 年出现的 VPNFilter 恶意软件的后继者。后者也旨在感染路由器等联网设备,以“虹吸”数据,并使其可用于未来的破坏性攻击。
新编程的华硕模块用于访问和替换路由器的闪存——僵尸网络从闪存读取80字节,将其写入主通信管道,然后等待所需的数据命令和替换内容。
第二个模块从受感染的设备收集数据并将其发送到 C2 服务器。 然后第三个“文件下载”(0x0f)模块将使用DNS over HTTPS(简称DoH)从互联网获取内容。
泛函分析
以下是受影响的华硕路由器型号(固件版本低于3.0.0.4.386.xxxx):
●GT-AC5300
●GT-AC2900
●RT-AC5300
● RT-AC88U
●RT-AC3100
● RT-AC86U
● RT-AC68U / AC68R / AC68W / AC68P
● RT-AC66U_B1
●RT-AC3200
●RT-AC2900
● RT-AC1900 / AC1900P
● RT-AC87U(已停产)
● RT-AC66U(已停产)
● RT-AC56U(已停产)
模块信息
截至发稿攻击路由软件,华硕尚未发布固件更新,但提供了临时的“设备重置”缓解计划。
(1) 登录Web GUI,点击管理→恢复/保存/上传设置;
(2)选择初始化所有设置并清除所有数据日志;
(3) 单击“恢复”按钮确认操作。
命令和控制服务器列表
重置完成后,如果可能的话,还将您的华硕路由器升级到最新固件,确保将默认管理员密码更改为更安全的密码,并禁用远程原理(默认禁用/仅在高级设置中启用) 。
规则和签名
对于现已停止支持 (EOL) 的三种型号 - 包括 RT-AC87U / AC66U / AC56U - 他们将不会收到任何固件更新。 这里的建议是立即退役并更换为更新、更安全的型号。
