Skadevare retter seg i økende grad mot IoT-enheter som rutere, og nå ser det ut til at det er Asus sin tur. Sikkerhetsselskapet Trend Micro rapporterer nemlig at rutere fra den taiwanske produsenten er i ferd med å bli infisert av en skadevare som trolig stammer fra Russland.
Den nye skadevaren har fått navnet Cyclops Blink og benyttes ifølge sikkerhetsselskapet til å etablere et botnett – et omfattende nettverk som kan brukes til å utføre cyberangrep i stor skala.
Funnet i både Asus- og Watchguard-enheter
Cyclops Blink ble først omtalt forrige måned, da det britiske cybersikkerhetsbyrået NCSC og de amerikanske byråene FBI, CISA og NSA publiserte en teknisk analyse som viste at skadevaren var en del av et stort botnett som retter seg mot SOHO-nettverksenheter (small office/home office).
Prøver av skadevaren ble først identifisert i Firebox-enheter fra selskapet Watchguard. Dette er brannmurenheter som benyttes til å beskytte nettverk.
Watchguard omtalte selv Cyclops Blink-skadevaren i en egen sikkerhetsmelding i slutten av februar, og opplyser at rundt én prosent av selskapets produkter er rammet av skadevaren.
Nå har altså Trend Micro også funnet en variant av skadevaren i Asus' nettverksprodukter. Asus ble kontaktet i forbindelsene med funnene, og har nå opprettet en sikkerhetsmelding hvor det opplyses at selskapet etterforsker saken og vil komme med oppdateringer.
Asus har også lagt ut en liste over produktene som er rammet. Den er som følger:
- GT-AC5300
- GT-AC2900
- RT-AC5300
- RT-AC88U
- RT-AC3100
- RT-AC86U
- RT-AC68U, AC68R, AC68W, AC68P
- RT-AC66U
- RT-AC3200
- RT-AC2900
- RT-AC1900P
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Asus anbefaler på det sterkeste at eiere av produktene sørger for at den seneste fastvareversjonen er installert på enhetene. Om man velger å ikke installere den nye fastvareversjonen anbefaler Asus å deaktivere fjerntilgang fra ruterens internettside (WAN).
Beryktet, russisk hackergruppe kan stå bak
Cyclops Blink-skadevaren antas å være en statssponset skadevare utviklet av den russiske hackergruppen Sandworm, som skal være tilknyttet den militære etterretningstjenesten i Russland, kjent som GRU.
Gruppen har tidligere blitt anklaget for å stå bak flere svært destruktive angrep, deriblant de mye omtalte NotPetya-angrepene, som forårsaket massiv skade på bedrifter.
I dette tilfellet skal det imidlertid ikke være snakk om skadevare som brukes til omfattende angrep på kritisk infrastruktur, i alle fall ikke ennå, ifølge Trend Micro.
– Våre data viser også at selv om Cyclops Blink er et statssponset botnett, rammer C&C-serverne og bot-ene Watchguard Firebox- og Asus-enheter som ikke hører til kritiske organisasjoner, eller de som har verdi for økonomisk, politisk eller militær spionasje. Derfor tror vi det er mulig at botnettets hovedformål er å bygge en infrastruktur for videre angrep mot mål av høy verdi, skriver selskapet.
Ifølge Trend Micro gjenstår det å se hvorvidt nettverket vil bli brukt til tjenestenektangrep, spionasje eller som et proxynettverk.
Mer informasjon kan man finne i sikkerhetsselskapets fulle rapport.