ASUS warnt: Cyclops Blink Botnet zielt auf Router

Sicherheit (Pexels, allgemeine Nutzung)[English]Seit einigen Wochen infiziert das Cyclops Blink Botnet wohl weltweit Netzwerkgeräte. Das Botnet wird von der mutmaßlich russischen Sandworm APT betrieben.  Hersteller ASUS hat die Woche eine Warnung herausgegeben, die sich an Nutzer seiner Router richtet. Das Cyclops Blink Botnet greift wohl ASUS-Router an, um diese in das Botnet einzufügen. Hier einige Informationen dazu.


Anzeige

Das Cyclops Blink Botnet

Die Malware und das Botnet war bis kurzem unbekannt und wird der russischen Spionage- und Cyber-Angriffsgruppe Sandworm (auch bekannt als Voodoo Bear) zugeschrieben. Die Vorläufer der Cyclops Blink-Malware gibt es seit drei Jahren, wobei die Akteure bisher VPNFilter ersetzten. Sicherheitsforscher haben 2018 herausgefunden, dass diese Malware rund 500.000 Router in Privathaushalten und kleinen Büros infiziert hat. Sie enthielt ein "wahres Schweizer Taschenmesser" an Funktionen, das es Hackern ermöglichte, Datenverkehr auszuschleusen oder zu manipulieren.

NCSC, CISA, FBI und NSA haben festgestellt, dass die Sandworm-Gruppe eine neue Cyclops Blink-Malware verwendet. Ich hatte Ende Februar 2022 im Blog-Beitrag Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich auf das Botnet hingewiesen. Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Geräte des Netzwerkgeräteherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Geräten so zu missbrauchen, dass sie persistent ist, d. h. sie überlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls.

Die ASUS-Sicherheitswarnung

Blog-Leser Gerold hat die Tage bereits einen Hinweis auf die Sicherheitswarnung hier im Blog hinterlassen (vielen Dank) und auf diesen Artikel der Kollegen von Bleeping Computer verlinkt. Mir ist der Hinweis aber auch über nachfolgenden Tweet von Nicolaus Krassas untergekommen.

Sondworm APT targets ASUS Router with Cyclos Blink Botnet

In einer koordinierten Meldung warnen ASUS und Trend Micro laut diesem Artikel, dass die Cyclops Blink-Malware über ein spezielles Modul verfügt, das auf mehrere ASUS-Router abzielt. Dieses Modul ermöglicht es der Malware, den Flash-Speicher auszulesen, um Informationen über wichtige Dateien, ausführbare Programme, Daten und Bibliotheken zu sammeln.

Die Malware erhält dann den Befehl, sich im Flash-Speicher einzunisten und dort dauerhaft zu verbleiben, da dieser Speicherplatz selbst bei Werksresets nicht gelöscht wird. Die Details zum ASUS-Modul von Cyclops Blink hat Trend Micro einen Artikel veröffentlicht, in dem die Funktionsweise der Malware erläutert wird. Die Kollegen von Bleeping Computer haben nachfolgende Liste an Router-Modellen deriviert.

  • GT-AC5300 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • GT-AC2900 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC5300 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC88U Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC3100 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC86U Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC68U, AC68R, AC68W, AC68P Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC66U_B1 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC3200 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC2900 Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P Firmware unterhalb Version 3.0.0.4.386.xxxx
  • RT-AC87U (EOL)
  • RT-AC66U (EOL)
  • RT-AC56U (EOL)

Von ASUS gibt es zwar diese Seite, die aber recht veraltet ist. Es scheint noch keine Firmware-Updates zu geben, die die von der Cyclops Blink-Malware ausgenutzten Schwachstellen schließt. ASUS schlägt aktuell als Workaround vor, Geräte auf die Werkseinstellungen zurückzusetzen, die neueste Firmware zu installieren und ein sicheres Passwort für den Zugriff auf die Verwaltungsoberfläche zu verwenden. Zudem sollten die Fernverwaltung deaktiviert werden, wie die Kollegen hier schreiben.

Ähnliche Artikel:
Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich
Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls
Vorbereitung auf die eskalierende Cyberkrise


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu ASUS warnt: Cyclops Blink Botnet zielt auf Router

  1. janil sagt:

    Also wäre die sicherste Maßnahme, den Stecker zu ziehen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.