Diversi modelli di router ASUS sono vulnerabili alla minaccia malware Cyclops Blink legata alla Russia, inducendo il fornitore a pubblicare un avviso con mitigazioni per il rischio di sicurezza.
Cyclops Blink è un malware legato al gruppo di hacker russi Sandworm che ha storicamente preso di mira WatchGuard Firebox e altri dispositivi di rete SOHO.
Il ruolo di Cyclops Blink è quello di stabilire la persistenza per gli attori delle minacce sul dispositivo, permettendo loro un punto di accesso remoto alle reti compromesse.
Poiché Cyclops Blink è modulare, può essere facilmente aggiornato per colpire nuovi dispositivi, aggiornando costantemente il suo scopo e attingendo a nuovi pool di hardware sfruttabili.
Cyclops Blink ora prende di mira i router ASUS
In una divulgazione coordinata, Trend Micro ha avvertito che il malware dispone di un modulo specializzato che prende di mira diversi router ASUS, permettendo al malware di leggere la memoria flash per raccogliere informazioni su file critici, eseguibili, dati e librerie.
Il malware riceve quindi un comando per annidarsi nella memoria flash e per stabilire una persistenza permanente, dato che questo spazio di archiviazione non viene cancellato nemmeno dai reset di fabbrica.
A questo punto, la diffusione di Cyclops Blink sembra indiscriminata e diffusa, quindi non importa se vi considerate un obiettivo legittimo o meno.
Poiché il malware è legato al gruppo di hacker d’elite Sandworm (rintracciato anche come Voodoo Bear, BlackEnergy e TeleBots), probabilmente vedremo gli attori della minaccia prendere di mira altri produttori di router in futuro.
Sandworm è stato collegato ad altri noti cyberattacchi, tra cui il malware BlackEnergy dietro i blackout ucraini del 2015 e 2016 e il ransomware NotPetya, che ha portato miliardi di danni alle aziende di tutto il mondo a partire dal giugno 2017.
In un avviso, ASUS avverte che i seguenti modelli di router e versioni del firmware sono vulnerabili agli attacchi Cyclops Blink:
- GT-AC5300 firmware sotto 3.0.0.4.386.xxxx
- Firmware GT-AC2900 sotto 3.0.0.4.386.xxxx
- firmware RT-AC5300 sotto 3.0.0.4.386.xxxx
- firmware RT-AC88U sotto 3.0.0.4.386.xxxx
- RT-AC3100 firmware sotto 3.0.0.4.386.xxxx
- RT-AC86U firmware sotto 3.0.0.4.386.xxxx
- RT-AC68U, AC68R, AC68W, AC68P firmware sotto 3.0.0.4.386.xxxx
- RT-AC66U_B1 firmware sotto 3.0.0.4.386.xxxx
- RT-AC3200 firmware sotto 3.0.0.4.386.xxxx
- RT-AC2900 firmware sotto 3.0.0.4.386.xxxx
- RT-AC1900P, RT-AC1900P firmware sotto 3.0.0.4.386.xxxx
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Al momento, ASUS non ha rilasciato nuovi aggiornamenti del firmware per proteggere da Cyclops Blink ma ha rilasciato le seguenti mitigazioni che possono essere utilizzate per proteggere i dispositivi:
- Ripristinare il dispositivo alle impostazioni di fabbrica: Accedere alla GUI web, andare su Administration → Restore/Save/Upload Setting, cliccare su “Initialize all the setting and clear all the data log,” e poi cliccare su Restore button.”
- Aggiornare all’ultimo firmware disponibile.
- Assicurarsi che la password di default dell’amministratore sia stata cambiata con una più sicura.
- Disabilitare la gestione remota (disabilitata per impostazione predefinita, può essere abilitata solo tramite le impostazioni avanzate).
- Se state usando uno dei tre modelli designati come EOL (end of life), notate che questi non sono più supportati e quindi non riceveranno un aggiornamento di sicurezza del firmware. In questo caso, si raccomanda di sostituire il dispositivo con uno nuovo.
