Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている

New Variant of Russian Cyclops Blink Botnet Targeting ASUS Routers

2022/03/17 TheHackerNews — ASUS ルーターが、Cyclops Blink と呼ばれる新たなボットネットのターゲットとして浮上してきた。このマルウェアは、侵害したネットワークへのリモート・アクセスを取得する足がかりとして、WatchGuard ファイアウォール・アプライアンスを悪用したことが明らかになってから、約1ヶ月後のことである。

Trend Micro が発表した新しいレポートによると、このボットネットの主な目的は、価値の高いターゲットに対するさらなる攻撃のための、インフラを構築することである。ただし、感染した全てのホストについて調べたところ、重要な経済/政治/軍事などの組織は標的にしていないことが判明している。

英国と米国の情報機関は、この Cyclops Blink について、主にスモール・オフィス/ホーム・オフィスのルーターや NAS デバイスなどの、ネットワークを悪用する別のマルウェアである、VPNFilter の代替フレームワークと位置づけている。


VPNFilter と Cyclops Blink の双方とも、 (別名Voodoo Bear) として追跡されているロシアの国家支援型アクターに起因するものであり、2015年と2016年のウクライナの電力網に対する攻撃/2017年の NotPetya 攻撃、2018年の冬季オリンピック Olympic Destroyer 攻撃などの、著名な侵入にも関連しているとのことだ。

この、C言語で書かれた高度なモジュラー型ボットネットは、ASUS ルーターの多くのモデルに影響を与えており、同社としては潜在的な悪用に対処するためのアップデートに取り組んでいるとのことだ。

  • GT-AC5300 firmware under 3.0.0.4.386.xxxx
  • GT-AC2900 firmware under 3.0.0.4.386.xxxx
  • RT-AC5300 firmware under 3.0.0.4.386.xxxx
  • RT-AC88U firmware under 3.0.0.4.386.xxxx
  • RT-AC3100 firmware under 3.0.0.4.386.xxxx
  • RT-AC86U firmware under 3.0.0.4.386.xxxx
  • RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
  • RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
  • RT-AC3200 firmware under 3.0.0.4.386.xxxx
  • RT-AC2900 firmware under 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
  • RT-AC87U (end-of-life)
  • RT-AC66U (end-of-life), and
  • RT-AC56U (end-of-life)

    Cyclops Blink は、OpenSSL を用いて Command and Control (C2) サーバーとの通信を暗号化するほか、デバイスのフラッシュ・メモリを読み書きする専用モジュールを組み込み、ファクトリー・リセットにも耐える永続性を実現している。

    2つ目の偵察モジュールは、ハッキングしたデバイスから C2 サーバーに情報を流出させるチャネルとして機能し、ファイル・ダウンロード・コンポーネントは HTTPS 経由で任意のペイロードを取得することを担当する。

    現時点において、最初のアクセスの正確なモードは不明だが、Cyclops Blink は 2019年6月以降において、米国/インド/イタリア/カナダ/ロシアに配置されている、WatchGuard デバイスと Asus ルーターに影響を与えたと言われている。影響を受けたホストの中には、欧州の法律事務所/南欧の医療機器製造メーカー/米国の水道工事会社などが存在する。

    IoT デバイスやルーターは、パッチの適用頻度が低く、セキュリティ・ソフトウェアが存在しないため、攻撃にとって有効な対象になっている。Trend Micro は、永遠のボットネットの形成につながる恐れがあると警告している。

    研究者たちは、「IoT デバイスがマルウェアに感染すると、攻撃者による偵察やスパイ活動た可能となり、より多くの段階のマルウェアをダウンロード/ディプロイするための、無制限のインターネット・アクセスを持つことになる。Cyclops Blink のケースでは、30ヶ月以上も連続して侵害され続け、他のボットのための安定した Command and Control サーバーとして機能するデバイスも確認されている」と述べている。

昨日にも 「TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる」という記事がありましたが、2021年11月19日には「英国の Sky Router 600万台が 17ヶ月間も乗っ取り攻撃に晒されていた」という、ちょっと驚きの記事もありました。文中にもあるように、スモール・オフィス/ホーム・オフィスのルーターを狙うサイバー攻撃が頻発しています。よろしければ、Router で検索や、NetGear で検索なども、ご利用ください。

%d bloggers like this: