华硕:警惕 Cyclops Blink 恶意软件正在攻击路由器
编译:代码卫士
多个华硕路由器机型易受和俄罗斯相关联的 Cyclops Blink 恶意软件的威胁。华硕已发布安全公告,说明相关缓解措施。
Cyclops Blink 是一款被指和俄罗斯Sandworm 黑客组织相关的恶意软件,该组织之前曾攻击 WatchGuard Firefox 和其它 SOHO 网络设备。Cyclops Blink 的作用是为威胁行动者建立设备上的可持久性,从而远程访问受陷网络。由于该恶意软件是模块化的,因此可轻松更新攻击新设备,不断刷新其范围并入侵新的可利用硬件池中。
在协同发布中,趋势科技公司提醒称该恶意软件中存在一个针对多款华硕路由器的特殊化模块,从而使恶意软件读取闪盘内存,收集关于关键文件、可执行文件、数据和库的信息。
之后,该恶意软件收到嵌入闪盘内存的命令并建立永久可持续性,因为即使是出厂重置也不会擦除该存储空间。
当前,Cyclops Blink 恶意软件似乎是开展无差别的大规模攻击。由于该恶意软件被指和 Sandworm 黑客组织相关,因此该恶意软件未来可能还会攻击其它路由器厂商。
Sandworm 组织被指和其它为人熟知的网络攻击有关,包括2015年和2016年乌克兰断电的幕后恶意软件 BlackEnergy,以及从2017年6月起对全球多个企业造成数十亿美元损失的 NotPetya 勒索软件。
华硕在今天发布的安全公告中指出,如下路由器及其和固件版本易受 Cyclops Blink 恶意软件攻击:
GT-AC5300 固件 3.0.0.4.386.xxxx 以下版本
GT-AC2900 固件 3.0.0.4.386.xxxx以下版本
RT-AC5300 固件 3.0.0.4.386.xxxx以下版本
RT-AC88U 固件 3.0.0.4.386.xxxx以下版本
RT-AC3100 固件 3.0.0.4.386.xxxx以下版本
RT-AC86U 固件 3.0.0.4.386.xxxx以下版本
RT-AC68U, AC68R, AC68W, AC68P 固件 3.0.0.4.386.xxxx以下版本
RT-AC66U_B1 固件3.0.0.4.386.xxxx以下版本
RT-AC3200 固件3.0.0.4.386.xxxx以下版本
RT-AC2900 固件3.0.0.4.386.xxxx以下版本
RT-AC1900P, RT-AC1900P 固件 3.0.0.4.386.xxxx以下版本
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)
目前,华硕并未发布新的固件更新,阻止 Cyclops Blink 恶意软件但已发布如下缓解措施,保护设备安全:
重置设备至工厂默认状态:登录web GUI,进入管理→恢复/保存/上传设置,点击“初始化所有设置并清空数据日志”,之后点击“恢复”按钮
更新至最新的可用固件版本
确保默认管理员密码已更改至更安全的密码
禁用远程管理(默认禁用,仅可通过高级设置启用)
如用户使用以上三种的已不受支持的三款机型之一,则必须了解这些机型将无法收到固件更新。在这种情况下,建议用户使用新设备。如果用户拥有 WatchGuard 网络设备并寻找相关安全公告,则可访问:https://www.watchguard.com/wgrd-news/blog/important-detection-and-remediation-actions-cyclops-blink-state-sponsored-botnet
华硕承认 Live Update Utility 已遭 APT 组织利用,发布补丁
知情不报|华硕 Live Update 被曝后门,超百万用户遭供应链攻击
https://www.bleepingcomputer.com/news/security/asus-warns-of-cyclops-blink-malware-attacks-targeting-routers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。