" alt="">Ботнет Cyclops Blink почав атаки на маршрутизатори Asus. У створенні ботнету підозрюють російську групу розширених стійких загроз (APT) Sandworm/Voodoo Bear. Про існування ботнету попередили Національний центр кібербезпеки Великобританії (NCSC) і Агентство кібербезпеки та безпеки інфраструктури США (CISA), а також АНБ і ФБР.
Його пов’язують із використанням шкідливого програмного забезпечення BlackEnergy проти української електромережі, Industroyer, NotPetya та кібератаками проти Грузії.
Дослідники з кібербезпеки з Trend Micro заявили, що, хоча пристрої WatchGuard Firebox і Asus, скомпрометовані ботнетом, не належать до критично важливим організаціям, проте потім можуть бути використані для подальших атак на більш важливі цілі.
Модульне зловмисне ПЗ здатне читати та записувати з флеш-пам’яті пристрою, забезпечуючи збереження. Trend Micro також каже, що ці функції можуть дозволити йому «вижити до скидання до заводських налаштувань». Інші модулі збирають інформацію про пристрій і дозволяють ботнету завантажувати та виконувати додаткові файли з Інтернету.
«Asus, імовірно, лише один із постачальників, на які зараз орієнтується Cyclops Blink», — кажуть дослідники. «У нас є докази того, що інші маршрутизатори також постраждали, але за даними звіту ми не змогли зібрати зразки шкідливого програмного забезпечення Cyclops Blink для інших маршрутизаторів, окрім WatchGuard та Asus».
У повідомленні з безпеки, опублікованому 17 березня, Asus заявила, що знає про Cyclops Blink і «веде розслідування».
Постачальник закликав клієнтів скинути свої пристрої до заводських налаштувань за замовчуванням, оновити свої продукти до останньої прошивки та змінити будь-які облікові дані адміністратора за замовчуванням на більш надійні параметри. Крім того, Asus рекомендує залишити функцію віддаленого керування вимкненою за замовчуванням.
«Якщо є підозра, що пристрої організації були заражені Cyclops Blink, краще придбати новий маршрутизатор», – додають Trend Micro. «Виконання скидання до заводських налаштувань може знищити конфігурацію організації, але не базову операційну систему, яку змінили зловмисники».
Нижче наведено список постраждалих продуктів:
GT-AC5300 версії 3.0.0.4.386.xxxx
GT-AC2900 версії 3.0.0.4.386.xxxx
RT-AC5300 версії 3.0.0.4.386.xxxx
RT-AC88U версії 3.0.0.4.386.xxxx
RT-AC3100 версії 3.0.0.4.386.xxxx
RT-AC86U версії 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P версії 3.0.0.4.386.xxxx
RT-AC66U_B1 версії 3.0.0.4.386.xxxx
RT-AC3200 версії 3.0.0.4.386.xxxx
RT-AC2900 версії 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P версії 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)
