ASUS yönlendiricileri, adı verilen yeni bir botnet’in hedefi olarak ortaya çıktı. Tepegöz Göz kırpıyorkötü amaçlı yazılımın, ihlal edilen ağlara uzaktan erişim elde etmek için bir sıçrama tahtası olarak WatchGuard güvenlik duvarı cihazlarını kötüye kullandığı ortaya çıktıktan neredeyse bir ay sonra.
göre yeni rapor Trend Micro tarafından yayınlanan, botnet’in “ana amacı, virüslü ana bilgisayarların hiçbirinin “kritik kuruluşlara veya ekonomik, politik, ya da askeri casusluk.”
İngiltere ve ABD’den istihbarat teşkilatları, Cyclops Blink’i, başta küçük ofis/ev ofis (SOHO) yönlendiricileri olmak üzere ağ cihazlarını ve ağa bağlı depolama (NAS) cihazlarını sömüren başka bir kötü amaçlı yazılım olan VPNFilter’ın yerine geçen bir çerçeve olarak nitelendirdi.
Hem VPNFilter hem de Cyclops Blink, Sandworm (aka Voodoo Bear) olarak izlenen Rus devlet destekli bir aktöre atfedildi ve bu, aynı zamanda Ukrayna elektrik şirketine 2015 ve 2016 saldırıları da dahil olmak üzere bir dizi yüksek profilli izinsiz girişle bağlantılıydı. ızgara, 2017 NotPetya saldırısı ve Kış Olimpiyat Oyunlarına 2018 Olimpiyat Destroyer saldırısı.
C dilinde yazılan gelişmiş modüler botnet, şirketle birlikte bir dizi ASUS yönlendirici modelini etkiler. kabul etmek olası herhangi bir istismarı ele almak için bir güncelleme üzerinde çalıştığını –
- GT-AC5300 üretici yazılımı 3.0.0.4.386.xxxx altında
- GT-AC2900 üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC5300 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC88U üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3100 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC86U bellenimi
- RT-AC68U, AC68R, AC68W, AC68P üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC66U_B1 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3200 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC2900 üretici yazılımı
- RT-AC1900P, RT-AC1900P üretici yazılımı 3.0.0.4.386.xxxx altında
- RT-AC87U (ömrünün sonu)
- RT-AC66U (ömrünün sonu)
- RT-AC56U (ömrünün sonu)
Cyclops Blink, komuta ve kontrol (C2) sunucularıyla iletişimi şifrelemek için OpenSSL’yi kullanmanın yanı sıra, cihazların flash belleğinden okuma ve yazma yapabilen özel modülleri de bünyesinde barındırarak, cihaza kalıcılık sağlama ve fabrika ayarlarına sıfırlamadan kurtulma yeteneği verir.
İkinci bir keşif modülü, saldırıya uğramış cihazdan C2 sunucusuna bilgi sızdırmak için bir kanal görevi görürken, bir dosya indirme bileşeni isteğe bağlı olarak HTTPS aracılığıyla rastgele yükleri almaktan sorumludur.
Haziran 2019’dan bu yana, kötü amaçlı yazılımın ABD, Hindistan, İtalya, Kanada ve Rusya’da bulunan WatchGuard cihazlarını ve Asus yönlendiricilerini etkilediği söyleniyor. Etkilenen ev sahiplerinden bazıları Avrupa’daki bir hukuk firmasına, Güney Avrupa’da diş hekimleri için tıbbi ekipman üreten orta ölçekli bir kuruluşa ve ABD’deki bir sıhhi tesisat şirketine aittir.
IoT cihazlarının ve yönlendiricilerinin, yama uygulamasının seyrek olması ve güvenlik yazılımının olmaması nedeniyle kazançlı bir saldırı yüzeyi haline gelmesiyle Trend Micro, bunun “ebedi botnet’lerin” oluşumuna yol açabileceği konusunda uyardı.
Araştırmacılar, “Bir IoT cihazına kötü amaçlı yazılım bulaştığında, bir saldırgan keşif, casusluk, proxy oluşturma veya saldırganın yapmak istediği herhangi bir şey için daha fazla kötü amaçlı yazılım aşamasını indirmek ve dağıtmak için sınırsız internet erişimine sahip olabilir” dedi.
“Cyclops Blink örneğinde, arka arkaya 30 aydan fazla (yaklaşık iki buçuk yıl) güvenliği ihlal edilen ve diğer botlar için kararlı komuta ve kontrol sunucuları olarak kurulan cihazlar gördük.”
