ASUS-Router sind als Ziel eines aufkommenden Botnetzes namens Cyclops Blink aufgetaucht, fast einen Monat nachdem aufgedeckt wurde, dass die Malware WatchGuard-Firewall-Geräte als Sprungbrett missbraucht, um Fernzugriff auf eingebrochene Netzwerke zu erhalten.
Einem neuen Bericht von Trend Micro zufolge besteht der Hauptzweck des Botnetzes darin, „eine Infrastruktur für weitere Angriffe auf hochwertige Ziele aufzubauen“, da keiner der infizierten Hosts „zu kritischen Organisationen oder solchen gehört, die einen offensichtlichen Wert auf wirtschaftliche, politische oder militärische Spionage haben“.
Nachrichtendienste aus Großbritannien und den USA haben Cyclops Blink als Ersatz für VPNFilter bezeichnet, eine andere Malware, die Netzwerkgeräte ausnutzt, vor allem Router für kleine Büros und Heimbüros (SOHO) sowie NAS-Geräte (Network Attached Storage).
Sowohl VPNFilter als auch Cyclops Blink werden einem vom russischen Staat gesponserten Akteur namens Sandworm (auch bekannt als Voodoo Bear) zugeschrieben, der auch mit einer Reihe von öffentlichkeitswirksamen Angriffen in Verbindung gebracht wird, darunter die Angriffe auf das ukrainische Stromnetz in den Jahren 2015 und 2016, der NotPetya-Angriff 2017 und der Olympic Destroyer-Angriff auf die Olympischen Winterspiele 2018.
Das fortschrittliche modulare Botnetz, das in der Programmiersprache C geschrieben wurde, betrifft eine Reihe von ASUS-Router-Modellen, und das Unternehmen hat bestätigt, dass es an einem Update arbeitet, um eine mögliche Ausnutzung zu verhindern.
GT-AC5300-Firmware unter 3.0.0.4.386.xxxx
GT-AC2900-Firmware unter 3.0.0.4.386.xxxx
RT-AC5300-Firmware unter 3.0.0.4.386.xxxx
RT-AC88U-Firmware unter 3.0.0.4.386.xxxx
RT-AC3100-Firmware unter 3.0.0.4.386.xxxx
RT-AC86U-Firmware unter 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P-Firmware unter 3.0.0.4.386.xxxx
RT-AC66U_B1-Firmware unter 3.0.0.4.386.xxxx
RT-AC3200-Firmware unter 3.0.0.4.386.xxxx
RT-AC2900-Firmware unter 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P Firmware unter 3.0.0.4.386.xxxx
RT-AC87U (End-of-life)
RT-AC66U (End-of-life)
RT-AC56U (End-of-life)
Cyclops Blink nutzt nicht nur OpenSSL zur Verschlüsselung der Kommunikation mit den C2-Servern, sondern verfügt auch über spezielle Module, die den Flash-Speicher der Geräte lesen und beschreiben können, so dass die Geräte persistent sind und Werksresets überstehen.
Ein zweites Aufklärungsmodul dient als Kanal, um Informationen vom gehackten Gerät zurück zum C2-Server zu schleusen, während eine Dateidownloadkomponente für den Abruf beliebiger Nutzdaten zuständig ist, optional über HTTPS.
Seit Juni 2019 soll die Malware WatchGuard-Geräte und Asus-Router in den USA, Indien, Italien, Kanada und Russland befallen haben. Einige der betroffenen Rechner gehören zu einer Anwaltskanzlei in Europa, einem mittelständischen Unternehmen, das medizinische Geräte für Zahnärzte in Südeuropa herstellt, und einem Sanitärunternehmen in den USA.
Da IoT-Geräte und Router aufgrund der seltenen Patches und der fehlenden Sicherheitssoftware zu einer lukrativen Angriffsfläche werden, warnt Trend Micro, dass dies zur Bildung von „ewigen Botnetzen“ führen könnte.
„Sobald ein IoT-Gerät mit Schadsoftware infiziert ist, kann ein Angreifer ungehindert auf das Internet zugreifen, um weitere Schadsoftware herunterzuladen und einzusetzen, sei es für Aufklärungszwecke, Spionage, Proxys oder alles andere, was der Angreifer tun möchte“, so die Forscher.
„Im Fall von Cyclops Blink haben wir Geräte gesehen, die über 30 Monate (etwa zweieinhalb Jahre) am Stück kompromittiert waren und als stabile Command-and-Control-Server für andere Bots eingerichtet wurden.