Una red de bots modular rusa llamada Cyclops Blink está secuestrando routers Asus en todo el mundo, supuestamente en un intento de construir un ejército de routers comprometidos para su uso en la ciberguerra. Los hackers quieren utilizar los dispositivos vulnerables como servidores de mando y control (C&C o C2).
Cyclops Blink es un malware vinculado al Kremlin que existe desde 2019. Está vinculado al grupo de hacking de élite Sandworm. Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), inicialmente se dirigía a los dispositivos Firebox de WatchGuard.
Sandworm estaba vinculado a otros ciberataques conocidos, como el ransomware NotPetya, que ha causado daños por valor de miles de millones de dólares en todo el mundo desde junio de 2017, y el malware BlackEnergy, que está detrás de los apagones de Ucrania de 2015-16.
Qué dicen los expertos al respecto
Los investigadores de Trend Micro señalan que Cyclops Blink arroja una amplia red en cuanto a los dispositivos que infecta, sin centrarse específicamente en entidades gubernamentales o diplomáticas de alto valor. Los hackers comprometieron algunos de los equipos infectados hace más de dos años y medio.
Cyclops Blink intenta establecer la persistencia de los actores de la amenaza en el dispositivo, creando un punto de acceso remoto a las redes comprometidas. Gracias a su diseño modular, puede actualizarse fácilmente para atacar nuevos dispositivos. Recientemente ha obtenido un nuevo módulo que le permite atacar routers Asus.
Trend Micro señala que los objetivos no parecen ser de especial valor para la ciberguerra. Pero bueno, esto puede ser solo apariencia. Además, los investigadores creen que hay otro proveedor con firmware comprometido, pero desafortunadamente, aún no pueden identificar al proveedor.
Estos son los modelos afectados y la solución que ofrece el fabricante
La empresa ha proporcionado los números de modelo de Asus afectados y los detalles de su firmware, que son los siguientes:
GT-AC5300
GT-AC2900
RT-AC5300
RT-AC88U
RT-AC3100
RT-AC86U
RT-AC68U
AC68R
AC68W
AC68P
RT-AC66U_B1
RT-AC3200
RT-AC2900
RT-AC1900P
RT-AC1900P
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)
Asus no ha publicado nuevas actualizaciones de firmware, pero ha publicado las siguientes instrucciones de mitigación:
- Restablezca el dispositivo a los valores de fábrica: Inicie sesión en la interfaz gráfica de usuario web, vaya a Administración → Restaurar/Guardar/Cargar configuración, haga clic en “Inicializar toda la configuración y borrar todo el registro de datos” y, a continuación, haga clic en el botón Restaurar”.
- Actualice al último firmware disponible.
- Asegúrese de que la contraseña de administrador por defecto ha sido cambiada por una más segura.
- Desactivar la gestión remota (desactivada por defecto, sólo se puede activar a través de la configuración avanzada).
Los tres modelos designados como EOL (end of life) ya no disponen de soporte y no recibirán ninguna actualización de seguridad del firmware. En estos casos, Asus recomienda comprar uno nuevo. El aviso de seguridad relacionado con los dispositivos de red WatchGuard se puede encontrar en el siguiente link.
Si Asus lanza algún comunicado oficial, de seguro los estaremos informando. Por lo pronto, si tienen uno de los dispositivos antes mencionados, les recomendamos que sigan las instrucciones que ha proporcionado el fabricante lo antes posible.
¿Qué piensan de Cyclops Blink? ¿Tienen un router Asus?
Fuente: NCSC