根據 TechSpot 報導稱,一個名為 Cyclops Blink 的程式我們也可以叫它為「模塊化殭屍網絡」 。它正在劫持全球範圍內諸多型號的 Asus 路由器。 英國國家網絡安全中心( NCSC)指出,俄羅斯很有可能是該惡意軟件的背後主謀。自從 2019年出現以來,最初的時候是針對 WatchGuard Firebox 裝置的。然而幕後的主使是一個名為 Sandworm 的黑客組織,也與 NotPetya 勒索軟件等臭名昭著的網絡攻擊有密切關連。
據說 Cyclops Blink 旨在劫持 Asus 公司的多款路由器的同時,以將比較容易受到攻擊的裝置用於命令和控制( C&C)伺服器。而其背後的 Sandworm 黑客組織,在2017年6月時就開始肆虐全球的大規模勒索軟件,在攻擊中造成的損失可達數十億美元。再往前還有在2015-2016年導致烏克蘭地區停電的 BlackEnergy 惡意軟件等等案例。
趨勢科技( Trend Micro )研究人員指出, Cyclops Blink 其實時想利用受感染的裝置布下了一張大網設下一場大局,但是並沒有特別針對高價值的政府或外交實體。其實就在兩年半前,黑客入侵了一批受感染的裝置,嘗試為威脅參與者構建一個持久性、可遠程訪問受感染網絡的節點。通過之前的 這種模塊化的設計,幕後黑手可輕鬆更新以針對新裝置發起攻擊—— 比如近期躺槍的 Asus 旗下的多款路由器。
除此之外研究人員目前推測另有一個廠商的裝置韌體遭到了破壞,但暫時無法給出確切的定論。不過我們目前知道的是,Cyclops Blink 會使用硬編碼的 TCP 端口和 C&C 伺服器進行通信。對於每個端口,它都會在 Netfilter Linux 內核防火牆中製定一條新的規則,並且允許與其進行出口通信。等他們 建立連接後,惡意軟件會初始化一個 OpenSSL 庫,然後其核心組件會執行一組硬編碼模塊。然後惡意軟件會將各種參數推送到這些模塊,以返回核心組件中使用OpenSSL 函數加密的數據,然後再將其發回給 C&C 伺服器端,我們可以看出這次的攻擊直接向核心位置進攻,如果進攻成功後,無疑受到很大的創傷。
我們綜合分析結果來看, Cyclops Blink 很像是2018年冒頭的 VPNFilter 惡意軟件的繼任者。但是後者也被設計成能夠感染路由器等聯網裝置,以「虹吸」數據、並供將來的破壞性攻擊使用。而新編的 Asus 模塊,被用於訪問和替換路由器的 Flash Memory —— 殭屍網絡從 Flash Memory 讀取 80個字節,將其寫入主通信管道,然後等待帶有替換內容的所需數據命令。第二個模塊從受感染的裝置收集數據,並將其發送到 C2 伺服器。接著第三個「文件下載」(0x0f)模塊會利用 DNS over HTTPS(簡稱 DoH)從而通過這樣的手段來獲取互聯網上的內容。
以下是受影響的華碩路由器型號(3.0.0.4.386.xxxx 以下固件版本):
● GT-AC5300
● GT-AC2900
● RT-AC5300
● RT-AC88U
● RT-AC3100
● RT-AC86U
● RT-AC68U / AC68R / AC68W / AC68P
● RT-AC66U_B1
● RT-AC3200
● RT-AC2900
● RT-AC1900 / AC1900P
● RT-AC87U(已停產)
● RT-AC66U(已停產)
● RT-AC56U(已停產)
不得不說現在的黑客手段越來越厲害了,我們接下來就看看 Asus 會怎麼反擊吧。
