安全厂商趋势科技近日发现俄罗斯僵尸网络程序Cyclops Blink锁定并感染华硕的路由器,但研究人员认为其他品牌设备也可能成为目标。
Cyclops Blink疑似和俄罗斯国家黑客组织Sandworm或Voodoo Bear有关,它最早于2019年出现踪迹,此后活跃至今,拥有高达150多个C&C服务器组成的庞大网络。今年2月Cyclops Blink曾发展出瞄准WatchGuard Firefox路由器的变种。趋势科技最近则发现专门瞄准华硕路由器的新变种。
Cyclops Blink是以C语言撰写的模块化恶意程序。它的一个模块可读写受害设备的闪存,并以加密连线上传到C&C服务器,达到搜集信息及执行指令的目的。通过存储在闪存,也可长期渗透,且不会被回复出厂设置删除。
趋势科技研究人员相信,黑客组织在网络上寻找大量目标。根据网络扫描及发布的SSL凭证分析,全球约有150到200台设备已成为宿主。以WatchGuard和华硕设备的攻击行动来看,受害者传播于美、加、意大利、印度及俄罗斯等多国。在一些案例中,某些设倍感染时间长达30个月,且被用以托管C&C服务器以控制僵尸设备。至少WatchGuard设备最早从2019年就遭到感染。此外,由于Cyclops Blink的长期渗透策略,部分感染设备上的恶意程序从未被清除。
值得注意的是,虽然Cyclops Blink是国家支持的僵尸网络,不过今年瞄准WatchGuard及华硕设备的C&C服务器及僵尸网络,都不属于关键组织或是具有经济、政治或军事间谍活动的价值。趋势科技研究人员相信Cyclops Blink变种的目的是创建一个基础架构,用作未来攻击更有价值的目标。
依据其他IoT设备僵尸网络的经验,目标设备可能包括多个品牌。以VPNFilter为例,受害厂商包括华硕、友讯(D-link)、华为、MikroTik、Netgear、QNAP、TP-Link、Ubiquiti、UPVEL及ZDE等。因此,虽然趋势科技目前仅确定WatchGuard及华硕遭感染,但是推断也会有针对其他品牌设备的专门变种。
由于回复出厂设置并不能回复已被Cyclops Blink变更过的底层操作系统,因此研究人员建议,如果企业怀疑有设备已经感染,最好的方法是另一台全新设备。而如果厂商固件更新能解决Cyclops Blink,也应尽快安装。
华硕昨日也发出安全公告。受影响的华硕路由器包括GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100、RT-AC86U、RT-AC68U、AC68R、AC68W、AC68P、RT-AC66U_B1、RT-AC3200、RT-AC2900、RT-AC1900P、RT-AC1900P,以及RT-AC87U (EOL)、RT-AC66U (EOL)和RT-AC56U (EOL)。受影响的产品固件版本皆为3.0.0.4.386.xxxx以前的版本。
华硕表示,该公司正在调查Cyclops Blink,并正在制作修补程序,也会持续更新。华硕呼吁用户将设备重设到出厂设置、更新到最新版固件,同时确保变更管理员密码,以及关闭远程管理功能(默认为关闭)。