华硕警告针对路由器的 Cyclops Blink 恶意软件攻击
source link: https://netsecurity.51cto.com/article/704285.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
据Bleeping Computer网站消息,多款华硕路由器型号容易受到名为Cyclops Blink的恶意软件威胁,并被曝与一个俄罗斯黑客组织Sandworm存在关联,该组织历来针对WatchGuard Firebox和其他SOHO网络设备。
Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。
在由趋势科技协调披露的调查中,发现该恶意软件具有 一个专门针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息,并在闪存中并建立持久性命令,即使恢复出厂设置也不会擦除。
用于写入闪存的模块代码
由于Cyclops Blink与 Sandworm黑客组织存在关联,后者曾参与或主导了多起大型网络攻击事件,比如在2015年至2016年,利用恶意软件BlackEnergy和 NotPetya攻击了乌克兰的电力系统,因此在未来可能会出现攻击者开始针对其他路由器制造商。
华硕已于3月17日发布了安全公告,公布了受影响的路由器型号和固件版本,暂未发布新的固件更新以阻止 Cyclops Blink,但已发布可用于保护设备的缓解措施:
受影响型号及固件版本:
- GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100、RT-AC86U
- RT-AC68U, AC68R, AC68W, AC68P
- RT-AC66U_B1、RT-AC3200、RT-AC2900
- RT-AC1900P, RT-AC1900P
- 以上型号的 3.0.0.4.386.xxxx固件及以下版本;
- RT-AC87U (已过时)
- RT-AC66U (已过时)
- RT-AC56U (已过时)
- 以上不受支持的型号。
缓解措施:
- 将设备重置为出厂默认设置:登录 Web GUI,进入管理 → 恢复/保存/上传设置,单击“初始化所有设置并清除所有数据日志”,然后单击“恢复”按钮;
- 更新到最新的可用固件;
- 确保默认管理员密码已更改为更安全的密码;
- 禁用远程管理(默认禁用,只能通过高级设置启用)。
如果用户使用的是老旧的不再受支持的型号,因而不会收到任何更新,华硕建议停止使用,并更换为较新的设备。
参考来源:https://www.bleepingcomputer.com/news/security/asus-warns-of-cyclops-blink-malware-attacks-targeting-routers/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK