Một mạng botnet mô-đun của Nga có tên là Cyclops Blink đang chiếm quyền điều khiển các bộ định tuyến (router) Asus trên toàn thế giới, hòng nỗ lực xây dựng một đội quân router bị kiểm soát để sử dụng trong chiến tranh mạng. Các tin tặc muốn sử dụng những thiết bị dễ bị tấn công làm máy chủ ra lệnh và kiểm soát (còn gọi là C&C hay C2). Cyclops Blink là một malware có nguồn gốc từ Nga và đã tồn tại từ năm 2019. Nó được gắn với nhóm hack Sandworm nổi tiếng. Theo Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC), ban đầu, malware này hướng đến các thiết bị WatchGuard Firebox. Sandworm có liên quan đến đến các cuộc tấn công mạng nổi tiếng khác, chẳng hạn như ransomware NotPetya, vốn gây ra thiệt hại trị giá hàng tỉ USD trên toàn cầu từ tháng 6/2017, hay malware BlackEnergy đứng sau sự cố mất điện tại Ukraine vào năm 2015 – 2016. Các nhà nghiên cứu của Trend Micro lưu ý rằng Cyclops Blink tạo ra một mạng lưới các thiết bị bị lây nhiễm rộng lớn và không tập trung riêng biệt vào chính phủ hoặc các thực thể ngoại giao có giá trị cao. Tin tặc đã xâm nhập một số thiết bị bị nhiễm virus cách đây hơn 2 năm.
Cyclops Blink cố gắng thiết lập sự bền bỉ cho các tác nhân xấu trên thiết bị, tạo ra một điểm truy cập từ xa vào các mạng bị xâm phạm. Do thiết kế mô-đun, nó có thể dễ dàng được cập nhật để hướng mục tiêu đến các thiết bị mới. Gần đây, nó đã được cập nhật một mô-đun mới giúp nó có thể tấn công vào các router Asus. Trend Micro lưu ý rằng các mục tiêu này dường như không có giá trị cụ thể nào trong chiến tranh mạng. “Cần lưu ý rằng những nạn nhân này dường như không phải là mục tiêu có giá trị rỏ ràng cho hoạt động gián điệp kinh tế, quân sự hoặc chính trị. Chẳng hạn, một số C&C sống được lưu trữ trên các thiết bị WatchGuard vốn được sử dụng bởi một công ty luật ở Châu Âu, một công ty sản xuất thiết bị y tế cho nha sĩ ở Nam Âu quy mô vừa, một công ty sửa ống nước tịa Mỹ. Mục đích của mạng botnet này vẫn chưa rõ ràng: Liệu nó có thể được sử dụng cho mục đích tấn công tự chối dịch vụ (DDoS), gián điệp, ủy quyền phân tán hay mạng proxy. Nhưng điều hiển nhiên, Cyclops Blink là một malware tiên tiến tập trung vào tính bền bỉ và khả năng sống sót sau các nỗ lực của lỗ hổng miền cũng như việc gỡ bỏ cơ sở hạ tầng của nó.” Các nhà nghiên cứu tin rằng có một nhà cung cấp khác cũng có firmware dễ bị tấn công, nhưng thật không may, họ vẫn chưa thể xác định được cái tên đó. Cyclops Blink sử dụng các cổng TCP được mã hóa cứng để giao tiếp với máy chủ C&C. Đối với mỗi cổng, nó tạo ra một quy tắc mới trong tường lửa kernel Linux Netfilter nhằm cho phép giao tiếp đầu ra với nó. Sau khi kết nối được thiết lập, malware sẽ khởi tạo thư viện OpenSSL, và thành phần cốt lõi của nó sau đó sẽ thực thi một tập hợp các mô-đun được mã hóa cứng. Sau đó, malware đẩy các thông số khác nhau đến những mô-đun này, vốn trả về các dữ liệu mà thành phần cốt lõi mã hóa bằng cách sử dụng các chức năng OpenSSL trước khi gửi trở lại máy chủ C2. Trend Micro tin rằng malware này là một phiên bản kế nhiệm của VPNFilter từ năm 2018. Nó cũng được thiết kế để lây nhiễm các bộ định tuyến cũng như những thiết bị đã được kết nối mạng, nhằm hút dữ liệu và xâm nhập vào chúng để sử dụng trong tương lai. Mô-đun Asus mới được xây dựng để truy cập và thay thế bộ nhớ flash cảu bộ định tuyến. Mạng botnet này đọc 80 byte từ bộ nhớ flash, ghi nó vào đường ống giao tiếp chính, sau đó chờ lệnh với dữ liệu cần thiết để thay thế nội dung. Mô-đun thứ 2 thu thập dữ liệu từ thiết bị bị nhiễm và gửi đến máy chủ C2. Mô-đun thứ ba, “tải file (0x0f)”, tải về các file từ internet bằng DNS thông qua HTTPS (DoH).
Hàm khởi tạo các mô-đun Những bộ định tuyến Asus bị ảnh hưởng và thông tin chi tiết về firmware của chúng như sau: - GT-AC5300 - GT-AC2900 - RT-AC5300 - RT-AC88U - RT-AC3100 - RT-AC86U - RT-AC68U - AC68R - AC68W - AC68P - RT-AC66U_B1 - RT-AC3200 - RT-AC2900 - RT-AC1900P - RT-AC1900P - RT-AC87U (EOL) - RT-AC66U (EOL) - RT-AC56U (EOL) Kể từ khi thông tin này xuất hiện, Asus đã không phát hành những bản cập nhật firmware mới mà lại công bố các hướng dẫn giảm thiểu vấn đề: “- Thiết lập lại thiết bị về mặc định ban đầu: đăng nhập vào GUI web, truy cập vào Administration → Restore/Save/Upload Setting, nhấp vào ‘Initialize all the setting and clear all the data log’, sau đó nhấp vào nút Restore. - Cập nhật lên firmware mới nhất. - Đảm bảo mật khẩu admin đã được thay đổi thành một mật khẩu an toàn hơn. - Vô hiệu hóa Remote Management (mặc định đã được tắt đi và chỉ có thể được bật thông qua Advanced Settings).” Ba bộ định tuyến được chỉ định alf EOL (End of Life: Kết thúc vòng đời) không còn được hỗ trợ và sẽ không nhận được bất kỳ bản cập nhật bảo mật firmware nào. Asus khuyến khích bạn nên mua mộ bộ định tuyến với. Bạn có thể tìm thấy tư vấn bảo mật liên quan cho những thiết bị mạng WatchGuard trên trang web của WatchGuard. Nguồn: Tech Spot
