La botnet Cyclops Blink ahora apunta a los enrutadores Asus en una nueva ola de ataques cibernéticos.
Se sospecha que Cyclops Blink, una botnet modular, es la creación de Sandworm/Voodoo Bear, un grupo ruso de amenazas persistentes avanzadas (APT).
Hace varias semanas, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos, junto con la NSA y el FBI, advirtieron sobre la existencia de la botnet.
Según las agencias, la APT cuenta con el apoyo de la Dirección Principal de Inteligencia (GRU) del Estado Mayor de Rusia y se ha relacionado con el uso del malware BlackEnergy contra la red eléctrica de Ucrania, Industroyer, NotPetya y ciberataques contra Georgia.
«Cyclops Blink parece ser un marco de reemplazo para el malware VPNFilter expuesto en 2018, que explotó dispositivos de red, principalmente enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) y dispositivos de almacenamiento conectado a la red (NAS)», advirtieron las agencias.
Esta semana, los investigadores de seguridad cibernética de Trend Micro dijeron que si bien el malware está «patrocinado por el estado», no parece ser un uso inactivo contra objetivos que tendrían en cuenta los intereses estatales de Rusia.
La red de bots es enorme y, hasta el momento, se han rastreado más de 150 direcciones de servidores de comando y control (C2) pasadas y actuales que pertenecen a la red.
Sin embargo, los dispositivos WatchGuard Firebox y Asus comprometidos por la red de bots «no pertenecen a organizaciones críticas, o aquellas que tienen un valor evidente en el espionaje económico, político o militar», un punto importante a tener en cuenta considerando la actual invasión de Ucrania por parte de Rusia. militar.
Además: Cloudflare presenta el servicio de validación de bots amigables
Mientras que la botnet está ocupada esclavizando dispositivos genéricos, abiertos y expuestos en línea, Trend Micro sospecha que la acumulación de nodos podría usarse para «construir una infraestructura para futuros ataques a objetivos de alto valor».
Detectado por primera vez en 2019, Cyclops Blink está escrito en C y usa TCP para comunicarse con un servidor C2. El malware hace uso de las funciones de encriptación OpenSSL e intentará aplicar fuerza bruta a los dispositivos para obtener acceso.
El malware modular puede leer y escribir desde la memoria flash de un dispositivo, lo que permite la persistencia. Trend Micro también dice que estas funciones pueden permitirle «sobrevivir a los restablecimientos de fábrica».
«Aunque no se puede usar como prueba de atribución, el código anterior nos recordó una rutina del código de la tercera etapa del proceso de VPNFilter llamada «dstr» que tenía la intención de «bloquear» el dispositivo infectado», dicen los investigadores.
Otros módulos recopilan información del dispositivo y permiten que la botnet descargue y ejecute archivos adicionales de la web.
«Es probable que Asus sea solo uno de los proveedores que actualmente están siendo atacados por Cyclops Blink», dicen los investigadores. «Tenemos evidencia de que otros enrutadores también se ven afectados, pero a partir del informe, no pudimos recopilar muestras de malware Cyclops Blink para enrutadores que no sean WatchGuard y Asus».
En un aviso de seguridad publicado el 17 de marzo, Asus dijo que estaba al tanto de Cyclops Blink y que estaba «investigando».
El proveedor ha instado a los clientes a restablecer sus dispositivos a la configuración predeterminada de fábrica, actualizar sus productos al firmware más reciente y cambiar las credenciales de administrador predeterminadas por opciones más sólidas. Además, Asus recomienda que la función de Gestión remota, desactivada de forma predeterminada, permanezca así.
«Si se sospecha que los dispositivos de una organización han sido infectados con Cyclops Blink, lo mejor es obtener un nuevo enrutador», agregó Trend Micro. «Realizar un restablecimiento de fábrica podría dejar en blanco la configuración de una organización, pero no el sistema operativo subyacente que los atacantes han modificado».
La lista de productos afectados es la siguiente:
- Firmware GT-AC5300 bajo 3.0.0.4.386.xxxx
- Firmware GT-AC2900 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC5300 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC88U bajo 3.0.0.4.386.xxxx
- Firmware RT-AC3100 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC86U bajo 3.0.0.4.386.xxxx
- Firmware RT-AC68U, AC68R, AC68W, AC68P bajo 3.0.0.4.386.xxxx
- Firmware RT-AC66U_B1 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC3200 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC2900 bajo 3.0.0.4.386.xxxx
- Firmware RT-AC1900P, RT-AC1900P bajo 3.0.0.4.386.xxxx
- RT-AC87U (fin de vida)
- RT-AC66U (fin de vida)
- RT-AC56U (fin de vida)
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0