作者GrandPrix (得窥堂奥,心中无憾)
看板Broad_Band
标题Fw: [新闻] 俄国殭屍网路程式瞄准华硕路由器
时间Sun Mar 20 10:02:11 2022
※ [本文转录自 PC_Shopping 看板 #1YD7GPch ]
作者: Allen0315 (老艾) 看板: PC_Shopping
标题: [新闻] 俄国殭屍网路程式瞄准华硕路由器
时间: Fri Mar 18 19:59:18 2022
俄国殭屍网路程式Cyclops Blink瞄准华硕路由器
https://www.ithome.com.tw/news/149978
继攻击WatchGuard设备後,Cyclops Blink出现专门瞄准华硕路由器的新变种,华硕表示
正在制作修补程式,
呼吁用户将装置重设到出厂设定、更新韧体、变更管理员密码,以及
关闭远距管理功能
文/林妍溱 | 2022-03-18发表
https://imgur.com/WnRj0T2.jpg
针对殭屍网路程式Cyclops Blink对自家路由器发动攻击,华硕在3月17日发出安全公告,
表示受影响的产品包括
GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100(如上
图所示,图片来源/华硕)等。受影响的
产品韧体版本皆为3.0.0.4.386.xxxx以前的版本
。
安全厂商趋势科技近日发现俄罗斯殭屍网路程式Cyclops Blink锁定并感染华硕的路由器
,但研究人员认为其他品牌设备也可能成为目标。
Cyclops Blink疑似和俄罗斯国家骇客组织Sandworm或Voodoo Bear有关,它最早於2019年
现踪,此後活跃至今,拥有高达150多个C&C伺服器组成的庞大网路。今年2月Cyclops
Blink曾发展出瞄准WatchGuard Firefox路由器的变种。趋势科技最近则发现专门瞄准华
硕路由器的新变种。
Cyclops Blink是以C语言撰写的模组化恶意程式。它的一个模组可读写受害装置的快闪记
忆体,并以加密连线上传到C&C伺服器,达到蒐集资讯及执行指令的目的。透过储存在快
闪记忆体,也可长期渗透,且不会被回复出厂设定删除。
趋势科技研究人员相信,骇客组织在网路上寻找大量目标。根据网路扫瞄及发放的SSL凭
证分析,全球约有150到200台装置已成为宿主。以WatchGuard和华硕设备的攻击行动来看
,受害者散布於美、加、义大利、印度及俄罗斯等多国。在一些案例中,某些装置感染时
间长达30个月,且被用以代管C&C伺服器以控制殭屍装置。至少WatchGuard装置最早从
2019年就遭到感染。此外,由於Cyclops Blink的长期渗透策略,部份感染装置上的恶意
程式从未被清除。
值得注意的是,虽然Cyclops Blink是国家支持的殭屍网路,不过今年瞄准WatchGuard及
华硕设备的C&C伺服器及殭屍网路,都不属於关键组织或是具有经济、政治或军事间谍活
动的价值。趋势科技研究人员相信Cyclops Blink变种的目的是建立一个基础架构,用作
未来攻击更有价值的目标。
依据其他IoT装置殭屍网路的经验,目标装置可能包括多个厂牌。以VPNFilter为例,受害
厂商包括华硕、友讯(D-link)、华为、MikroTik、Netgear、QNAP、TP-Link、Ubiquiti
、UPVEL及ZDE等。因此,虽然趋势科技目前仅确定WatchGuard及华硕遭感染,但是推断也
会有针对其他品牌设备的专门变种。
由於回复出厂设定并不能回复已被Cyclops Blink变更过的底层作业系统,因此研究人员
建议,如果企业怀疑有装置已经感染,最好的方法是另一台全新装置。而如果厂商韧体更
新能解决Cyclops Blink,也应尽速安装。
华硕昨日也发出安全公告。受影响的华硕路由器包括GT-AC5300、GT-AC2900、RT-AC5300
、RT-AC88U、RT-AC3100、RT-AC86U、RT-AC68U、AC68R、AC68W、AC68P、RT-AC66U_B1、
RT-AC3200、RT-AC2900、RT-AC1900P、RT-AC1900P,以及RT-AC87U (EOL)、RT-AC66U
(EOL)和RT-AC56U (EOL)。受影响的产品韧体版本皆为3.0.0.4.386.xxxx以前的版本。
https://imgur.com/NQXUbyG.jpg
华硕表示,该公司正在调查Cyclops Blink,并正在制作修补程式,也会持续更新。华硕
呼吁用户将装置重设到出厂设定、更新到最新版韧体,同时确保变更管理员密码,以及关
闭远距管理功能(预设为关闭)。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.37.88.206 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PC_Shopping/M.1647604761.A.9AB.html
※ 编辑: Allen0315 (114.37.88.206 台湾), 03/18/2022 19:59:43
1F:推 abc21086999 : 关不得不愿意退出俄罗斯市场 111.71.104.6 03/18 20:08
2F:→ abc21086999 : *怪 111.71.104.6 03/18 20:08
3F:推 ymps6161224 : 楼上有没有想过 其实是因为退出市 42.77.192.231 03/18 20:32
4F:→ ymps6161224 : 场才被攻击的 42.77.192.231 03/18 20:32
5F:→ surimodo : 所以不管版本全都受影响111.243.105.136 03/18 20:42
6F:→ NoneWolf : 刀编该负责了吧 180.217.228.38 03/18 20:59
7F:→ justice2008 : 这舞台我家有两台耶 114.32.14.43 03/18 21:11
8F:→ Snack : 刀呢,小编上! 220.134.137.74 03/18 21:17
9F:推 whe84311 : 你迟早要买UniFi的 42.72.122.131 03/18 21:27
10F:推 andy70612 : 继续使用N-18U压压惊 218.173.78.186 03/18 22:38
11F:→ fmp1234 : 旧路由器被放生多久了101.136.225.172 03/18 23:34
12F:→ iceyang : 幸好我用tp连 125.224.15.188 03/18 23:41
13F:推 ppt12527 : 我有RT-AC86U 114.34.215.182 03/18 23:52
14F:推 okamifang : 我韧体换成Merlin的应该就没事了吗 1.165.216.223 03/19 01:27
15F:→ okamifang : ? 1.165.216.223 03/19 01:27
16F:推 EthanWake : 难道要我买 AmpliFi Alien吗 59.115.224.219 03/19 01:56
17F:推 NgJovi : 中俄战争123.194.200.134 03/19 09:24
18F:推 saimeitetsu : AX系列有吗? 223.137.254.23 03/19 09:29
19F:→ oppoR20 : 梅林也要看版本啊 梅林版本也是跟 223.141.152.83 03/19 10:57
20F:→ oppoR20 : 着官方更新的 223.141.152.83 03/19 10:57
21F:推 autoupdate : 说买其他家 还满好笑,他会被攻击 36.229.239.75 03/19 12:06
22F:→ autoupdate : 纯粹玩的人比较多,其他others 市 36.229.239.75 03/19 12:06
23F:→ autoupdate : 占率低才懒的找你漏洞 36.229.239.75 03/19 12:06
24F:→ yys310 : mikrotik 140.114.18.242 03/19 13:48
25F:推 fb100141 : 21楼正解 谁大打谁 有时间干嘛去研 111.83.154.108 03/19 14:52
26F:→ fb100141 : 究other 111.83.154.108 03/19 14:52
27F:→ yys310 : 谁大打谁干嘛不去tp 140.114.18.126 03/19 15:53
28F:→ jay0215 : 中俄大战!118.167.197.102 03/19 15:57
29F:推 fb100141 : 难道骇客要打你还要昭告天下吗? 111.83.154.108 03/19 17:29
30F:推 fb100141 : 你要去打other也没人反对啊 111.83.154.108 03/19 17:30
31F:推 Arbin : 这应该已经持续一段时间了,不会是 111.82.134.240 03/19 18:23
32F:→ Arbin : 最近才有 111.82.134.240 03/19 18:23
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: GrandPrix (114.45.206.169 台湾), 03/20/2022 10:02:11
33F:推 ahmae: 原来还有人用刀硕,嘻嘻 03/25 07:06