吳明宜安全廠商發現,Cyclops Blink 殭屍網路程式對華碩的路由器發動網路攻擊。
英國國家網路中心 (NCSC) 及美國網路安全暨基礎架構安全局 (CISA) 及 NSA 、 FBI 在過去幾周警告要小心 Cyclops Blink 殭屍網路程式。安全廠商首先於 2019 年被安全界偵測到 Cyclops Blink,他們相信 Cyclops Blink 可能是國家駭客 Sandworm/Woodoo Bear 所開發用以取代 VPNFilter,背後則持續有俄羅斯情報局 GRU 的支持,且和幾個知名惡意程式,包括 BlackEnergy 、 Industroyer 、 NetPetya 等有關聯。
在攻擊對象上,Cyclops Blink 並非攻擊重大基礎架構或是有經濟、軍事、政治價值的目標,而是鎖定家用或小型企業用路由器、以及網路附加儲存 (NAS) 裝置,例如今年稍早它曾鎖定 WatchGuard 設備,這次趨勢科技則發現它的目標是華碩路由器。
Cyclops Blink 網路很大,至少涵括 150 多台 C&C 伺服器。它是以 C 語言撰寫而成,使用 TCP 和 C&C 伺服器連繫,它還能使用 OpenSSL 加密技術,碰到目標裝置需要驗證時,則以暴力破解手法以存取裝置。
一旦成功存取進裝置,Cyclops Blink 的一個元件可從裝置快閃記憶體進行讀寫以進行長期滲透,也能避免在回復出廠設定時遭到消滅。其他模組則可蒐集裝置資訊,並且從網路上下載與執行其他軟體元件。
華碩本周表示已獲報 Cyclops Blink 的威脅,目前已著手調查。受影響的產品包括 GT-AC5300 、 GT-AC2900 、 RT-AC5300 、 RT-AC88U 、 RT-AC3100 、 RT-AC86U 、 RT-AC68U 、 AC68R 、 AC68W 、 AC68P 、 RT-AC66U_B1 、 RT-AC3200 、 RT-AC2900 、 RT-AC1900P 、 RT-AC1900P,以及 RT-AC87U (EOL) 和 RT-AC66U (EOL) 。受影響的產品韌體版本皆為 3.0.0.4.386.xxxx 版本。
華碩呼籲用戶將裝置重新回復出廠設定、更新產品韌體、並且將預設管理員密密改為強密碼。華碩也建議用戶維持原本預設關閉的遠端管理功能。
來源:ZDNet