Biến thể mới của botnet Cyclops Blink nhắm mục tiêu các router ASUS

Biến thể mới của botnet Cyclops Blink nhắm mục tiêu các router ASUS

Các router ASUS vừa trở thành mục tiêu của mạng botnet có tên Cyclops Blink. Trước đó, các chuyên gia phát hiện mã độc đã lạm dụng các thiết bị tường lửa WatchGuard như một bước đệm để truy cập từ xa vào các mạng bị xâm nhập.

Theo báo cáo của Trend Micro, “mục đích chính của mạng botnet là xây dựng cơ sở hạ tầng cho các cuộc tấn công tiếp theo vào các mục tiêu có giá trị cao“, bởi không phát hiện máy chủ bị nhiễm nào “thuộc các tổ chức quan trọng hoặc những tổ chức có giá trị rõ ràng về kinh tế, chính trị hoặc gián điệp quân sự”.

Các cơ quan tình báo của Anh và Hoa Kỳ đã mô tả Cyclops Blink là một framework thay thế cho VPNFilter, một mã độc khác đã khai thác các thiết bị mạng, chủ yếu là router văn phòng (SOHO) và các thiết bị lưu trữ gắn mạng (NAS).

Cả VPNFilter và Cyclops Blink đều được cho là của hacker do Nga bảo trợ (được đặt tên Sandworm, hay Voodoo Bear), cũng có liên quan đến một số vụ xâm nhập nổi tiếng, bao gồm cả vụ tấn công năm 2015 và 2016 nhắm vào mạng lưới điện Ukraine, cuộc tấn công NotPetya năm 2017 và cuộc tấn công của Olympic 2018 Destroyer vào Thế vận hội Olympic mùa đông.

Được viết bằng ngôn ngữ C, botnet mô-đun tiên tiến ảnh hưởng đến một số mẫu router ASUS. Hãng này thừa nhận đang tiến hành cập nhật để khắc phục mọi nguy cơ bị khai thác.

  • Firmware GT-AC5300 dưới 3.0.0.4.386.xxxx
  • Firmware GT-AC2900 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC5300 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC88U dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC3100 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC86U dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC68U, AC68R, AC68W, AC68P dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC66U_B1 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC3200 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC2900 dưới 3.0.0.4.386.xxxx
  • Firmware RT-AC1900P, RT-AC1900P dưới 3.0.0.4.386.xxxx
  • RT-AC87U
  • RT-AC66U
  • RT-AC56U

Cyclops Blink, bên cạnh việc sử dụng OpenSSL để mã hóa thông tin liên lạc với các máy chủ C&C, còn kết hợp các mô-đun chuyên dụng có thể đọc và ghi từ bộ nhớ flash của thiết bị, giúp nó hoạt động bền bỉ và tồn tại kể cả khi factory resets.

Mô-đun trinh sát thứ hai đóng vai trò như một kênh để lấy thông tin từ thiết bị bị tấn công trở lại máy chủ C&C, trong khi một thành phần tải xuống tệp chịu trách nhiệm truy xuất các payload tùy ý theo tùy chọn thông qua HTTPS.

Kể từ tháng 6/2019, mã độc được cho là đã ảnh hưởng đến các thiết bị WatchGuard và router của Asus đặt tại Hoa Kỳ, Ấn Độ, Ý, Canada và Nga. Một số đơn vị chủ quản bị ảnh hưởng thuộc về một công ty luật ở Châu Âu, một công ty quy mô vừa sản xuất thiết bị y tế cho nha sĩ ở Nam Âu và một công ty ống nước ở Hoa Kỳ.

Với việc các thiết bị IoT và router đang trở thành “miếng mồi béo bở” do không thường xuyên được vá lỗi và không có phần mềm an ninh, Trend Micro cảnh báo rằng điều này có thể dẫn đến sự hình thành của “các mạng botnet bền vững”.

Các nhà nghiên cứu cho biết: “Một khi thiết bị IoT bị nhiễm mã độc, kẻ tấn công có thể có quyền truy cập Internet không giới hạn để tải xuống và triển khai nhiều giai đoạn hơn để do thám, gián điệp hoặc bất cứ điều gì khác“.

Trong trường hợp của Cyclops Blink, chúng tôi đã phát hiện các thiết bị bị xâm nhập trong hơn 30 tháng (khoảng hai năm rưỡi) liên tiếp và đang được thiết lập làm máy chủ điều khiển và ra lệnh cho các bot khác“.

Theo The Hacker News

Bình chọn
Vui lòng liên hệ hotline 0379768688 để được hỗ trợ, chúng tôi ngừng cho phép đặt hàng trực tuyến tại Website.