安全廠商發現,Cyclops Blink殭屍網路程式對華碩的路由器發動網路攻擊。
安全廠商發現,Cyclops Blink殭屍網路程式對華碩的路由器發動網路攻擊。
英國國家網路中心(NCSC)及美國網路安全暨基礎架構安全局(CISA)及NSA、FBI在過去幾周警告要小心Cyclops Blink殭屍網路程式。安全廠商首先於2019年被安全界偵測到Cyclops Blink,他們相信Cyclops Blink可能是國家駭客Sandworm/Woodoo Bear所開發用以取代VPNFilter,背後則持續有俄羅斯情報局GRU的支持,且和幾個知名惡意程式,包括BlackEnergy、Industroyer、NetPetya等有關聯。
在攻擊對象上,Cyclops Blink並非攻擊重大基礎架構或是有經濟、軍事、政治價值的目標,而是鎖定家用或小型企業用路由器、以及網路附加儲存(NAS)裝置,例如今年稍早它曾鎖定WatchGuard設備,這次趨勢科技則發現它的目標是華碩路由器。
Cyclops Blink網路很大,至少涵括150多台C&C伺服器。它是以C語言撰寫而成,使用TCP和C&C伺服器連繫,它還能使用OpenSSL加密技術,碰到目標裝置需要驗證時,則以暴力破解手法以存取裝置。
一旦成功存取進裝置,Cyclops Blink的一個元件可從裝置快閃記憶體進行讀寫以進行長期滲透,也能避免在回復出廠設定時遭到消滅。其他模組則可蒐集裝置資訊,並且從網路上下載與執行其他軟體元件。
華碩本周表示已獲報Cyclops Blink的威脅,目前已著手調查。受影響的產品包括GT-AC5300、 GT-AC2900 、RT-AC5300、RT-AC88U 、RT-AC3100 、RT-AC86U 、RT-AC68U、AC68R、AC68W、AC68P、RT-AC66U_B1、RT-AC3200、RT-AC2900 、RT-AC1900P、RT-AC1900P,以及RT-AC87U (EOL)和RT-AC66U (EOL) 。受影響的產品韌體版本皆為3.0.0.4.386.xxxx版本。
華碩呼籲用戶將裝置重新回復出廠設定、更新產品韌體、並且將預設管理員密密改為強密碼。華碩也建議用戶維持原本預設關閉的遠端管理功能。