Компания Asus сообщает об активности малвари Cyclops Blink, которую связывают с русскоязычной хак-группой Sandworm. Ботнет атакует маршрутизаторы Asus и считается, что эта малварь пришла на смену устаревшему VPNFilter.
О вредоносе Cyclops Blink правительства США и Великобритании предупреждали еще в феврале 2022 года. Активную с 2019 года малварь, которая используется для взлома домашних и офисных сетевых устройств, эксперты связывают с российской хак-группой Sandworm (она же Telebots, BlackEnergy, Voodoo Bear).
В основном Cyclops Blink используется для того, чтобы закрепиться на устройстве, предоставляя хакерам точку доступа к скомпрометированным сетям. Поскольку вредонос является модульным, его можно без труда приспособить для работы с новыми девайсами, постоянно меняя пулы оборудования, которое можно эксплуатировать.
Ранее аналитики компании Trend Micro писали о том, что у Cyclops Blink есть специальный модуль, предназначенный для нескольких моделей маршрутизаторов Asus. Он позволяет малвари считывать флэш-память для сбора информации о важных и исполняемых файлах, данных и библиотеках. После этого малварь получает команду внедриться в память и закрепиться на устройстве, чтобы избавиться от нее было невозможно даже посредством сброса к заводским настройкам.
Как теперь сообщает Asus, перед атаками Cyclops Blink уязвимы следующие модели маршрутизаторов и версии прошивок:
- GT-AC5300 прошивка ниже 3.0.0.4.386.xxxx;
- GT-AC2900 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC5300 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC88U прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC3100 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC86U прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC68U, AC68R, AC68W, AC68P прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC66U_B1 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC3200 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC2900 прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC1900P, RT-AC1900P прошивка ниже 3.0.0.4.386.xxxx;
- RT-AC87U (поддержка прекращена);
- РТ-AC66U (поддержка прекращена);
- РТ-AC56U (поддержка прекращена).
Пока Asus не выпустила новых прошивок для защиты от Cyclops Blink, но рекомендует предпринять следующие меры для защиты устройств:
- Сбросьте устройство до заводских настроек.
- Обновите до последней доступной версии прошивки.
- Убедитесь, что пароль администратора по умолчанию изменен на более безопасный.
- Отключите удаленное управление (отключено по умолчанию, можно включить только в расширенных настройках).
Если же речь идет об одной из трех моделей, чья поддержка уже прекращена, в этом случае рекомендуется попросту заменить устройство на более новое.
