Nieuwe variant van Russische Cyclops Blink Botnet gericht op ASUS-routers

Cyclops Blink Botnet Nachrichten

ASUS-routers zijn het doelwit geworden van een opkomend botnet genaamd Cycloop knippertbijna een maand nadat werd onthuld dat de malware WatchGuard firewall-apparaten misbruikte als een opstapje om op afstand toegang te krijgen tot geschonden netwerken.

Volgens een nieuw rapport gepubliceerd door Trend Micro, is het “hoofddoel van het botnet het bouwen van een infrastructuur voor verdere aanvallen op hoogwaardige doelen”, aangezien geen van de geïnfecteerde hosts “behoort tot kritieke organisaties of organisaties die een duidelijke waarde hebben op economisch, politiek, of militaire spionage.”

Inlichtingenbureaus uit het VK en de VS hebben Cyclops Blink gekarakteriseerd als een vervangend raamwerk voor VPNFilter, een andere malware die misbruik heeft gemaakt van netwerkapparaten, voornamelijk kleine kantoor/thuiskantoor (SOHO)-routers en netwerk-gekoppelde opslag (NAS)-apparaten.

Zowel VPNFilter als Cyclops Blink zijn toegeschreven aan een door de Russische staat gesponsorde acteur die wordt gevolgd als Sandworm (ook bekend als Voodoo Bear), die ook is gekoppeld aan een aantal spraakmakende inbraken, waaronder die van de aanvallen van 2015 en 2016 op de Oekraïense elektrische grid, de NotPetya-aanval van 2017 en de Olympic Destroyer-aanval van 2018 op de Olympische Winterspelen.

Geschreven in de C-taal, heeft het geavanceerde modulaire botnet invloed op een aantal ASUS-routermodellen, met het bedrijf erkennen dat het werkt aan een update om mogelijke uitbuiting aan te pakken –

  • GT-AC5300-firmware onder 3.0.0.4.386.xxxx
  • GT-AC2900-firmware onder 3.0.0.4.386.xxxx
  • RT-AC5300-firmware onder 3.0.0.4.386.xxxx
  • RT-AC88U-firmware onder 3.0.0.4.386.xxxx
  • RT-AC3100-firmware onder 3.0.0.4.386.xxxx
  • RT-AC86U-firmware onder 3.0.0.4.386.xxxx
  • RT-AC68U, AC68R, AC68W, AC68P-firmware onder 3.0.0.4.386.xxxx
  • RT-AC66U_B1 firmware onder 3.0.0.4.386.xxxx
  • RT-AC3200-firmware onder 3.0.0.4.386.xxxx
  • RT-AC2900-firmware onder 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P-firmware onder 3.0.0.4.386.xxxx
  • RT-AC87U (einde levensduur)
  • RT-AC66U (einde levensduur)
  • RT-AC56U (einde levensduur)

Cyclops Blink gebruikt niet alleen OpenSSL om communicatie met zijn command-and-control (C2) -servers te coderen, maar bevat ook gespecialiseerde modules die kunnen lezen en schrijven van het flashgeheugen van de apparaten, waardoor het de mogelijkheid krijgt om persistentie te bereiken en fabrieksresets te overleven.

Een tweede verkenningsmodule dient als kanaal om informatie van het gehackte apparaat terug naar de C2-server te exfiltreren, terwijl een bestanddownloadcomponent de leiding neemt over het ophalen van willekeurige payloads, optioneel via HTTPS.

Sinds juni 2019 zou de malware gevolgen hebben gehad voor WatchGuard-apparaten en Asus-routers in de VS, India, Italië, Canada en Rusland. Sommige van de getroffen gastheren behoren tot een advocatenkantoor in Europa, een middelgrote entiteit die medische apparatuur produceert voor tandartsen in Zuid-Europa, en een loodgietersbedrijf in de VS

Nu IoT-apparaten en routers een lucratief aanvalsoppervlak worden vanwege het gebrek aan patching en het ontbreken van beveiligingssoftware, waarschuwde Trend Micro dat dit zou kunnen leiden tot de vorming van ‘eeuwige botnets’.

“Zodra een IoT-apparaat is geïnfecteerd met malware, kan een aanvaller onbeperkte internettoegang hebben om meer stadia van malware te downloaden en in te zetten voor verkenning, spionage, proxying of iets anders dat de aanvaller wil doen”, aldus de onderzoekers.

“In het geval van Cyclops Blink hebben we apparaten gezien die gedurende meer dan 30 maanden (ongeveer twee en een half jaar) op rij werden gecompromitteerd en werden opgezet als stabiele command-and-control-servers voor andere bots.”

David
Rate author
Hackarizona