Cyclops Blink (PDF) je známý od roku 2019 a je spojen s ruskou službou GRU a konkrétněji pak se skupinou Sandworm, která o sobě dala už dříve vědět třeba díky ransomwaru NotPetya a na Ukrajině o ní ví především kvůli blackoutům z let 2015 a 2016, které způsobil malware BlackEnergy.
.jpeg)
Dle britského National Cyber Security Centre (NCSC) se Cyclops Blink nejdříve zaměřil na zařízení WatchGuard Firebox, ale jinak se má za to, že tento malware není zrovna vybíravý s ohledem na to, na koho konkrétního zaútočí. Ostatně pokud jde o botnet, pak jeho cílem je stejně vytvořit si armádu zotročených zařízení a až ta pak může posloužit k nějakému skutečně cílenému útoku, ať už půjde třeba jen o DoS.
Cyclops Blink je přitom považován za modulární botnet, což znamená, že může být snadno pozměněn tak, aby mohl útočit na konkrétní zařízení s konkrétními slabinami. A dle Trend Micro se to nyní týká právě routerů značky Asus, které pak poslouží jako C&C servery (command-and-control) pro další účely. Jde konkrétně o následující modely zařízení značky Asus:
- GT-AC5300
- GT-AC2900
- RT-AC5300
- RT-AC88U
- RT-AC3100
- RT-AC86U
- RT-AC68U
- AC68R
- AC68W
- AC68P
- RT-AC66U_B1
- RT-AC3200
- RT-AC2900
- RT-AC1900P
- RT-AC1900P
- RT-AC87U (EOL*)
- RT-AC66U (EOL*)
- RT-AC56U (EOL*)
* již nevyráběný model
Asus zatím nepřišel s aktualizovanými firmwary pro tato zařízení, ale má v ruce doporučení, jak se zbavit případné nákazy a zabránit jí. V prvé řadě tak jde o obnovení továrního nastavení v příslušném menu routeru, a to s volbou smazání všech dat včetně logu. Dále je doporučeno aktualizovat firmware na nejnovější verzi, zřídit si silné administrátorské heslo a nakonec deaktivovat vzdálenou správu (Remote Management) v Advanced Settings. Ovšem ta by přinejmenším v nejnovějších verzích firmwaru měla být ve výchozím stavu vypnuta.
Zdroj: TechSpot