※ [本文转录自 PC_Shopping 看板 #1YD7GPch ]
作者: Allen0315 (老艾) 看板: PC_Shopping
标题: [新闻] 俄国僵尸网络程式瞄准华硕路由器
时间: Fri Mar 18 19:59:18 2022
俄国僵尸网络程式Cyclops Blink瞄准华硕路由器
https://www.ithome.com.tw/news/149978
继攻击WatchGuard设备后,Cyclops Blink出现专门瞄准华硕路由器的新变种,华硕表示
正在制作修补程式,呼吁用户将装置重设到出厂设定、更新韧体、变更管理员密码,以及
关闭远距管理功能
文/林妍溱 | 2022-03-18发表
针对僵尸网络程式Cyclops Blink对自家路由器发动攻击,华硕在3月17日发出安全公告,
表示受影响的产品包括GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100(如上
图所示,图片来源/华硕)等。受影响的产品韧体版本皆为3.0.0.4.386.xxxx以前的版本
。
安全厂商趋势科技近日发现俄罗斯僵尸网络程式Cyclops Blink锁定并感染华硕的路由器
,但研究人员认为其他品牌设备也可能成为目标。
Cyclops Blink疑似和俄罗斯国家骇客组织Sandworm或Voodoo Bear有关,它最早于2019年
现踪,此后活跃至今,拥有高达150多个C&C服务器组成的庞大网络。今年2月Cyclops
Blink曾发展出瞄准WatchGuard Firefox路由器的变种。趋势科技最近则发现专门瞄准华
硕路由器的新变种。
Cyclops Blink是以C语言撰写的模组化恶意程式。它的一个模组可读写受害装置的快闪记
忆体,并以加密连线上传到C&C服务器,达到蒐集资讯及执行指令的目的。透过储存在快
闪内存,也可长期渗透,且不会被回复出厂设定删除。
趋势科技研究人员相信,骇客组织在网络上寻找大量目标。根据网络扫瞄及发放的SSL凭
证分析,全球约有150到200台装置已成为宿主。以WatchGuard和华硕设备的攻击行动来看
,受害者散布于美、加、意大利、印度及俄罗斯等多国。在一些案例中,某些装置感染时
间长达30个月,且被用以代管C&C服务器以控制僵尸装置。至少WatchGuard装置最早从
2019年就遭到感染。此外,由于Cyclops Blink的长期渗透策略,部份感染装置上的恶意
程式从未被清除。
值得注意的是,虽然Cyclops Blink是国家支持的僵尸网络,不过今年瞄准WatchGuard及
华硕设备的C&C服务器及僵尸网络,都不属于关键组织或是具有经济、政治或军事间谍活
动的价值。趋势科技研究人员相信Cyclops Blink变种的目的是建立一个基础架构,用作
未来攻击更有价值的目标。
依据其他IoT装置僵尸网络的经验,目标装置可能包括多个厂牌。以VPNFilter为例,受害
厂商包括华硕、友讯(D-link)、华为、MikroTik、Netgear、QNAP、TP-Link、Ubiquiti
、UPVEL及ZDE等。因此,虽然趋势科技目前仅确定WatchGuard及华硕遭感染,但是推断也
会有针对其他品牌设备的专门变种。
由于回复出厂设定并不能回复已被Cyclops Blink变更过的底层作业系统,因此研究人员
建议,如果企业怀疑有装置已经感染,最好的方法是另一台全新装置。而如果厂商韧体更
新能解决Cyclops Blink,也应尽速安装。
华硕昨日也发出安全公告。受影响的华硕路由器包括GT-AC5300、GT-AC2900、RT-AC5300
、RT-AC88U、RT-AC3100、RT-AC86U、RT-AC68U、AC68R、AC68W、AC68P、RT-AC66U_B1、
RT-AC3200、RT-AC2900、RT-AC1900P、RT-AC1900P,以及RT-AC87U (EOL)、RT-AC66U
(EOL)和RT-AC56U (EOL)。受影响的产品韧体版本皆为3.0.0.4.386.xxxx以前的版本。
华硕表示,该公司正在调查Cyclops Blink,并正在制作修补程式,也会持续更新。华硕
呼吁用户将装置重设到出厂设定、更新到最新版韧体,同时确保变更管理员密码,以及关
闭远距管理功能(默认为关闭)。