TechSpot 報道稱,一個名為 Cyclops Blink 的“模塊化殭屍網絡”,正在劫持全球範圍內諸多型號的華碩(Asus)路由器。英國國家網絡安全中心(NCSC)指出,該惡意軟件疑似有俄方背景。自 2019 年冒頭以來,其最初針對的是 WatchGuard Firebox 設備。然而幕後的 Sandworm 黑客組織,也與 NotPetya 勒索軟件等臭名昭著的網絡攻擊有關。
PDF 截圖(來自:NCSC)
據說 Cyclops Blink 旨在劫持華碩公司的多款路由器,以將易受攻擊的設備用於命令和控制(C&C)服務器。
而其背後的 Sandworm 黑客組織,已在 2017 年 6 月開始肆虐全球的大規模勒索工軟件攻擊中造成數十億美元的損失。
再往前還有在 2015-2016 年導致烏克蘭地區停電的 BlackEnergy 惡意軟件。
最初被盯上的 WatchGuard Firebox 設備
趨勢科技(Trend Micro)研究人員指出,Cyclops Blink 利用受感染的設備布下了一張大網,而沒有特別針對高價值的政府或外交實體。
兩年半前,黑客入侵了一批受感染的設備,嘗試為威脅參與者構建一個持久性、可遠程訪問受感染網絡的節點。
通過這種模塊化的設計,幕後黑手可輕鬆更新以針對新設備發起攻擊 —— 比如近期躺槍的華碩旗下的多款路由器。
Cyclops Blink 概述
Trend Micro 補充道,這些目標似乎對傳說中的“網絡戰”沒有特點的價值 ——“受害者似乎並不涵蓋經濟、軍事、或間諜活動的明顯有價值的目標”。
舉個例子,一些實時的命令與控制服務器被託管在一家歐洲律師事務所採用的 WatchGuard 設備上,另有一家在南歐生產牙醫器材的中等規模企業,以及一家美國地區的管道廠商。
至於這個殭屍網絡的確切目的 —— 比如是否旨在用於分佈式拒絕服務(DDoS)攻擊、間諜活動、或網絡代理 —— 仍有待時間去檢驗。
不過更顯而易見的是,Cyclops Blink 是一款相當高級的惡意軟件,專註於持久潛伏、並且能夠在部分節點的基礎設施被移除的情況下繼續存在。
惡意軟件細節
此外研究人員推測另有一個廠商的設備固件遭到了破壞,但暫時無法給出確切的定論。已知的是,Cyclops Blink 會使用硬編碼的 TCP 端口和 C&C 服務器進行通信。
對於每個端口,它都會在 Netfilter Linux 內核防火牆中制定一條新的規則,以允許與其進行出口通信。建立連接后,惡意軟件會初始化一個 OpenSSL 庫,然後其核心組件會執行一組硬編碼模塊。
然後惡意軟件會將各種參數推送到這些模塊,以返回核心組件中使用 OpenSSL 函數加密的數據,然後再將其發回給 C&C 服務器端。
綜合分析來看,Cyclops Blink 很像是 2018 年冒頭的 VPNFilter 惡意軟件的繼任者。後者也被設計成能夠感染路由器等聯網設備,以“虹吸”數據、並供將來的破壞性攻擊使用。
而新編的華碩模塊,被用於訪問和替換路由器的閃存 —— 殭屍網絡從閃存讀取 80 個字節,將其寫入主通信管道,然後等待帶有替換內容的所需數據命令。
第二個模塊從受感染的設備收集數據,並將其發送到 C2 服務器。接着第三個“文件下載”(0x0f)模塊會利用 DNS over HTTPS(簡稱 DoH)從互聯網上獲取內容。
功能剖析
以下是受影響的華碩路由器型號列表:
● GT-AC5300
● GT-AC2900
● RT-AC5300
● RT-AC88U
● RT-AC3100
● RT-AC86U
● RT-AC68U
● AC68R
● AC68W
● AC68P
● RT-AC66U_B1
●RT-AC3200
● RT-AC2900
● RT-AC1900P
● RT-AC1900P
● RT-AC87U(已停產)
● RT-AC66U(已停產)
● RT-AC56U(已停產)
模塊信息
截止發稿時,華碩方面尚未發布固件更新,但給出了一套臨時的“設備重置”緩解方案。
(1)登錄 Web GUI,點擊 管理 → 恢復 / 保存 / 上傳 設置;
(2)選擇 初始化所有設置、並清除所有數據日誌;
(3)點擊 恢復 按鈕以確認操作。
命令與控制服務器列表
重置完成後,如果可行,還請將您的華碩路由器升級至最新版的固件、確保將默認管理員密碼修改為更安全的密碼、並禁用遠程原理(默認禁用 / 且只能在高級設置中啟用)。
規則與簽名
對於現已不受支持(EOL)的三款型號 —— 包括 RT-AC87U / AC66U / AC56U —— 它們將無法收到任何固件更新。在此建議是立即停用,並用更安全的新型號替換。