aiutocomputerhelp
newsSicurezza Informatica

Cyclops Blink prende di mira i router ASUS. Attenzione!

Giovanni Popolizio , , , , , , ,

 Cyclops Blink 

I router ASUS sono emersi come obiettivo principale di una nascente botnet chiamata Cyclops Blink, quasi un mese dopo che è stato rivelato che il malware ha abusato dei firewall WatchGuard come trampolino di lancio per ottenere l’accesso remoto alle reti violate.

Il malware è stato distribuito almeno da giugno 2019.  L’attore ha distribuito principalmente Cyclops Blink ai dispositivi WatchGuard, ma Sandworm avrebbe probabilmente compilato il malware per altre architetture e firmware.

 Cyclops Blink 
Cyclops Blink

Il malware è sofisticato e modulare, con una funzionalità di base che consente di inviare le informazioni del dispositivo a un server e di scaricare ed eseguire i file. C’è anche una funzionalità per aggiungere nuovi moduli mentre il malware viene eseguito, permettendo a Sandworm di implementare capacità aggiuntive. Dopo lo sfruttamento, Cyclops Blink è generalmente distribuito come un “aggiornamento” del firmware.

Trend Micro

Secondo un nuovo rapporto pubblicato da Trend Micro, lo “scopo principale della botnet è quello di costruire un’infrastruttura per ulteriori attacchi a obiettivi di alto valore”, dato che nessuno degli host infetti “appartiene a organizzazioni critiche, o quelle che hanno un evidente valore di spionaggio economico, politico o militare”.

Le agenzie di intelligence del Regno Unito e degli Stati Uniti hanno caratterizzato Cyclops Blink come una struttura sostitutiva di VPNFilter, un altro malware che ha sfruttato i dispositivi di rete, principalmente router SOHO (small office/home office) e dispositivi NAS (network-attached storage).

Sia VPNFilter che Cyclops Blink sono stati attribuiti a un attore russo sponsorizzato dallo stato rintracciato come Sandworm (alias Voodoo Bear), che è stato anche collegato a una serie di intrusioni di alto profilo, tra cui quella degli attacchi del 2015 e 2016 alla rete elettrica ucraina, l’attacco NotPetya del 2017 e l’attacco Olympic Destroyer del 2018 ai Giochi Olimpici Invernali.

Scritto in linguaggio C, il botnet modulare avanzato colpisce un certo numero di modelli di router ASUS, con l’azienda che ha riconosciuto che sta lavorando su un aggiornamento per affrontare qualsiasi potenziale sfruttamento .

Elenco periferiche attaccabili

1-GT-AC5300 firmware under 3.0.0.4.386.xxxx
2-GT-AC2900 firmware under 3.0.0.4.386.xxxx
3-RT-AC5300 firmware under 3.0.0.4.386.xxxx
4-RT-AC88U firmware under 3.0.0.4.386.xxxx
5-RT-AC3100 firmware under 3.0.0.4.386.xxxx
6-RT-AC86U firmware under 3.0.0.4.386.xxxx
7-RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
8-RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
9-RT-AC3200 firmware under 3.0.0.4.386.xxxx
10-RT-AC2900 firmware under 3.0.0.4.386.xxxx
11-RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
12-RT-AC87U (end-of-life)
13-RT-AC66U (end-of-life)
14- RT-AC56U (end-of-life)

Cyclops Blink

Cyclops Blink, oltre a utilizzare OpenSSL per crittografare le comunicazioni con i suoi server di comando e controllo (C2), incorpora anche moduli specializzati che possono leggere e scrivere dalla memoria flash dei dispositivi, garantendogli la capacità di raggiungere la persistenza e sopravvivere ai reset di fabbrica.

Un secondo modulo di ricognizione serve come canale per esfiltrare informazioni dal dispositivo violato al server C2, mentre un componente di download di file si occupa di recuperare carichi arbitrari opzionalmente via HTTPS.

Come fa?

L’esatta modalità di accesso iniziale non è attualmente nota.  Si dice che Cyclops Blink abbia colpito i dispositivi WatchGuard e i router Asus situati negli Stati Uniti, in India, Italia, Canada e Russia dal giugno 2019. Alcuni degli host colpiti appartengono ad una zienda europea. Un’entità di medie dimensioni che produce attrezzature mediche per i dentisti nell’Europa meridionale e una società di idraulica negli Stati Uniti.

I dispositivi IoT e i router che diventano una superficie di attacco lucrativa. Lo sono, causa della scarsa frequenza delle patch e dell’assenza di software di sicurezza. Trend Micro ha avvertito che questo potrebbe portare alla formazione di “botnet eterne”.

“Una volta che un dispositivo IoT è infettato da malware, l’attaccante ha  accesso illimitato a Internet. Può  scaricare e distribuire in più fasi malware per la ricognizione, lo spionaggio. Può inoltre far divenire il router un proxy, o qualsiasi altra cosa”.

“Nel caso di Cyclops Blink, abbiamo visto dispositivi che sono stati compromessi per oltre 30 mesi (circa due anni e mezzo) di fila e sono stati impostati come server di comando e controllo stabile per altri bot”.