Niedawno wspominaliśmy na łamach naszego blogu incydent z zabezpieczeniami UTM firmy Watch Guard. Główny winowajca problemu, czyli botnet o nazwie Cyclops Blink doczekał się nowej wersji. Tym razem atakuje urządzenia firmy ASUS.
Cel istnienia botnetu
Według nowego raportu opublikowanego przez Trend Micro, “głównym celem botnetu jest zbudowanie infrastruktury do dalszych ataków na cele o wysokiej wartości”. Biorąc pod uwagę, że żaden z zainfekowanych hostów “nie należy do organizacji krytycznych lub tych, które mają ewidentną wartość w szpiegostwie gospodarczym, politycznym lub wojskowym”.
Agencje wywiadowcze z Wielkiej Brytanii i USA scharakteryzowały Cyclops Blink jako następcę VPNFilter. Które, swojego czasu wykorzystało do ataków urządzenia sieciowe. Głównie routery w małych biurach / biurach domowych (SOHO) i urządzeniach sieciowej pamięci masowej (NAS).
Obydwa zagrożenia zostały przypisane sponsorowanemu przez państwo rosyjskie kolektywowi Sandworm (aka Voodoo Bear). Został również powiązany z szeregiem głośnych włamań, w tym z atakami na ukraińską sieć elektryczną. W 2015 i 2016 roku, atakiem NotPetya w 2017 roku i atakiem Olympic Destroyer na Zimowe Igrzyska Olimpijskie w 2018 roku.
Napisany w języku C, zaawansowany modułowy botnet wpływa na wiele modeli routerów ASUS. Firma przyznaje, że pracuje nad aktualizacją, aby rozwiązać problem potencjalnego wykorzystania.
- Oprogramowanie układowe GT-AC5300 w wersji 3.0.0.4.386.xxxx
- Oprogramowanie układowe GT-AC2900 w wersji 3.0.0.4.386.xxxx
- Rt-AC5300 firmware under 3.0.0.4.386.xxxx
- Rt-AC88U firmware pod 3.0.0.4.386.xxxx
- Rt-AC3100 firmware pod 3.0.0.4.386.xxxx
- Rt-AC86U firmware pod 3.0.0.4.386.xxxx
- Oprogramowanie sprzętowe RT-AC68U, AC68R, AC68W, AC68P w wersji 3.0.0.4.386.xxxx
- RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
- Rt-AC3200 firmware pod 3.0.0.4.386.xxxx
- Rt-AC2900 firmware under 3.0.0.4.386.xxxx
- RT-AC1900P, RT-AC1900P firmware pod 3.0.0.4.386.xxxx
- RT-AC87U (wycofany z eksploatacji)
- RT-AC66U (wycofany z eksploatacji)
- RT-AC56U (wycofany z eksploatacji)
Moduły Cyclops Blink
Cyclops Blink, oprócz używania OpenSSL do szyfrowania komunikacji z serwerami command-and-control (C2). Zawiera również wyspecjalizowane moduły, które mogą odczytywać i zapisywać wszystko na pamięci flash urządzeń. Dając mu możliwość przetrwania nawet po zresetowaniu do ustawień fabrycznych.
Drugi moduł rozpoznawczy służy jako kanał do eksfiltracji informacji ze zhakowanego urządzenia z powrotem na serwer C2, podczas gdy wcześniejszy komponent przejmuje odpowiedzialność za pobieranie dowolnych ładunków opcjonalnie za pośrednictwem HTTPS.
Ponieważ urządzenia i routery IoT stają się lukratywnym obszarem ataku ze względu na rzadkość łatania i brak oprogramowania zabezpieczającego. Trend Micro ostrzegł, że może to prowadzić do powstania “wiecznych botnetów”.
“Urządzenie IoT infekowane złośliwym oprogramowaniem, atakujący może mieć nieograniczony dostęp do sieci w celu pobrania i wdrożenia większej liczby etapów ataku. W celu rozpoznania, szpiegostwa, proxy lub czegokolwiek innego, co atakujący chce zrobić” – stwierdzili naukowcy.
“W przypadku Cyclops Blink widzieliśmy urządzenia, które zostały zainfekowane przez ponad 30 miesięcy (około dwóch i pół roku). Były konfigurowane jako stabilne serwery dowodzenia i kontroli dla innych botów.”