Єдиним доступним варіантом може бути повернення до заводських налаштувань для заражених маршрутизаторів.

Ботнет Cyclops Blink тепер націлений на маршрутизатори Asus у новій хвилі кібератак.

Cyclops Blink – це модульний ботнет, який імовірно був створений російською групою розширених стійких загроз (APT) Sandworm/Voodoo Bear.

Кілька тижнів тому Національний центр кібербезпеки Великобританії (NCSC) і Агентство кібербезпеки та безпеки інфраструктури США (CISA), а також Агенство національної безпеки та ФБР попередили про існування ботнету.

За даними агентств, APT підтримується Головним управлінням розвідки Генерального штабу Росії (ГРУ) і його пов’язують із використанням шкідливого програмного забезпечення BlackEnergy проти української електромережі, Industroyer, NotPetya та кібератаками проти Грузії.

«Cyclops Blink, схоже, є заміною для зловмисного програмного забезпечення VPNFilter, викритого в 2018 році, яке використовувало мережеві пристрої, насамперед маршрутизатори невеликого офісу/домашнього офісу (SOHO) і пристрої для зберігання даних, підключені до мережі (NAS)», – попереджають агентства.

Цього тижня дослідники з кібербезпеки з Trend Micro заявили, що, хоча зловмисне програмне забезпечення «спонсується державою», воно, схоже, не активно використовується проти цілей, які б ґрунтувалися на державних інтересах Росії.

Однак пристрої WatchGuard Firebox і Asus, скомпрометовані ботнетом, «не належать до критично важливих організацій або тих, які мають очевидну цінність щодо економічного, політичного чи військового шпигунства» – важливий момент, на який слід звернути увагу, враховуючи нинішнє вторгнення Росії в Україну.

Незважаючи на те, що ботнет зайнятий підкріпленням загальних, відкритих пристроїв в Інтернеті, Trend Micro підозрює, що накопичення вузлів потім може бути використано для «побудови інфраструктури для подальших атак на високоцінні цілі».

Вперше виявлений у 2019 році, Cyclops Blink написаний на C і використовує TCP для зв’язку із сервером C2. Шкідливе програмне забезпечення використовує функції шифрування OpenSSL і намагатиметься отримати доступ до пристроїв.

Модульне зловмисне програмне забезпечення здатне читати та записувати з флеш-пам’яті пристрою, забезпечуючи збереження. Trend Micro також каже, що ці функції можуть дозволити йому «вижити до скидання до заводських налаштувань».

«Хоча його не можна використовувати як доказ атрибуції, попередній код нагадав нам процедуру з третього етапу коду процесу VPNFilter під назвою «dstr», яка мала на меті «замурувати» інфікований пристрій», — кажуть дослідники.

Інші модулі збирають інформацію про пристрій і дозволяють ботнету завантажувати та виконувати додаткові файли з Інтернету.

«Asus, імовірно, лише один із постачальників, на які зараз орієнтується Cyclops Blink», — кажуть дослідники. «У нас є докази того, що інші маршрутизатори також постраждали, але за даними звіту ми не змогли зібрати зразки шкідливого програмного забезпечення Cyclops Blink для інших маршрутизаторів, окрім WatchGuard та Asus».

У повідомленні з безпеки , опублікованому 17 березня, Asus заявила, що знає про Cyclops Blink і «розслідує» інциденти.

Постачальник закликав клієнтів скинути свої пристрої до заводських налаштувань за замовчуванням, оновити свої продукти до останньої прошивки та змінити будь-які облікові дані адміністратора за замовчуванням на більш надійні параметри. Крім того, Asus рекомендує залишити функцію віддаленого керування, вимкнену за замовчуванням.

«Якщо є підозра, що пристрої організації були заражені Cyclops Blink, краще придбати новий маршрутизатор», – додають Trend Micro. «Виконання скидання до заводських налаштувань може призвести до знищення конфігурації організації, але не базової операційної системи, яку змінили зловмисники».

Нижче наведено список постраждалих продуктів:

  • Прошивка GT-AC5300 під версією 3.0.0.4.386.xxxx
  • Прошивка GT-AC2900 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC5300 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC88U під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC3100 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC86U під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC68U, AC68R, AC68W, AC68P під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC66U_B1 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC3200 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC2900 під версією 3.0.0.4.386.xxxx
  • Прошивка RT-AC1900P, RT-AC1900P під версією 3.0.0.4.386.xxxx
  • RT-AC87U (EOL)
  • RT-AC66U (EOL)
  • RT-AC56U (EOL)