Bezpieczeństwo w sieci

Routery ASUSa na celowniku Rosjan, budują dużego botneta

Kamil Pieczonka
8

Firma TrendMicro ostrzega przed rosyjskim botnetem Cyclops Blink, który od kilku miesięcy przejmuje routery firmy ASUS i infekuje kolejne urządzenia. Nie jest jasne w jakim celu to robi, ale za atakiem stoi znana hakerska grupa - Sandworm.

Cyclops Blink atakuje routery ASUSa

Cyclops Blink to duży botnet obecny w sieci już przynajmniej od dwóch lat, który według najnowszych analiz firmy TrendMicro atakuje popularne między innymi w Polsce routery ASUSa. Botnet tworzony jest przez powiązaną z Kremlem, rosyjską grupę Sandworm i ma za zadanie przejmować kolejne urządzenia, które poza tym nic wielkiego nie robią. Co więcej infekuje przede wszystkim urządzenia konsumenckie i w niewielkich firmach, które zazwyczaj nie przeprowadzają audytu bezpieczeństwa swoich urządzeń. Jest to prawdopodobnie przygotowanie pod większy atak DDoS na istotne cele, który może nastąpić w przyszłości. Sandworm to znana grupa, która odpowiada chociażby za ataki na ukraińską sieć energetyczną w 2015 i 2016 roku, czy robaka NotPetya z 2017 roku.

Dobra wiadomość jest taka, że botnet po przejęciu routera nie wykonuje żadnych szkodliwych działań. Komunikuje się tylko ze swoim serwerem sterującym i potwierdza gotowość do infekowania kolejnych urządzeń. Nie ma zatem wpływu na funkcjonowanie routera co sprawia, że większość użytkowników jest nieświadoma jego obecności. Kolejna zła wiadomość to umiejętność nadpisywania pamięci flash w routerze, przez co zwykły reset do ustawień fabrycznych nie pozwoli się go pozbyć. Niestety na ten moment nie wiadomo jeszcze jaką lukę wykorzystuje atakujący, a lista routerów podatnych na atak jest dosyć długa. Co więcej 3 modele nie dostają już aktualizacji bezpieczeństwa i ASUS sugeruje ich wymianę na nowszy model. Pełna lista obejmuje:

  • GT-AC5300 firmware poniżej 3.0.0.4.386.xxxx
  • GT-AC2900 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC5300 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC88U firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC3100 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC86U firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC68U, AC68R, AC68W, AC68P firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC66U_B1 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC3200 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC2900 firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P firmware poniżej 3.0.0.4.386.xxxx
  • RT-AC87U (end-of-life)
  • RT-AC66U (end-of-life)
  • RT-AC56U (end-of-life)

Mam router ASUSa, co robić?

ASUS po informacji od TrendMicro szybko zareagował na zagrożenie i opublikował nowy biuletyn bezpieczeństwa. Osoby, które dokonują regularnych aktualizacji oprogramowania nie muszą się niczego obawiać, najnowsza z nich - 3.0.0.4.386.xxxx chroni router przed infekcją i nie trzeba nic robić. Jeśli macie starszą wersję firmware to ASUS zaleca:

  1. Reset do ustawień fabrycznych przez zalogowanie się do routera i wybór w opcjach administracyjnych w zakładce ustawień opcji "Zainicjalizuj wszystkie ustawienia i wyczyść logi" i kliknięcie na przycisk "Odzyskaj/Restore"
  2. Aktualizację urządzenia do najnowszej wersji oprogramowania
  3. Zmianę standardowego hasła administratora
  4. Wyłączenie usługi zdalnego zarządzania routerem z sieci internet (domyślnie jest wyłączona)

Te porady dotyczą tylko urządzeń, które nadal są wspierane, posiadacze najstarszych modeli - RT-AC87U, RT-AC66U oraz RT-AC56U powinni rozejrzeć się za nowymi modelami, bo dla nich nowy firmware nie będzie dostępny.

źródło: TrendMicro

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu