Cyclops Blink僵尸网络将目光投向华硕路由器

据悉，Cyclops Blink僵尸网络已经存在了一段时间，很可能至少可以追溯到2019年6月。自2019年6月以来，该攻击者已颁发了50多个SSL证书，用于WatchGuard C&C上各种TCP端口，包括636、989、990、994、995、3269和8443。为Cyclops Blink C&C颁发的SSL证书的时间线如下：

数据显示，尽管Cyclops Blink是一个国家赞助的僵尸网络，但其C&C服务器和机器人会影响WatchGuard Firebox和Asus设备，这些设备不属于关键组织，也不属于对经济、政治或军事间谍活动有明显价值的组织。研究人员认为Cyclops Blink僵尸网络的主要目的可能是为进一步攻击高价值目标建立基础设施。

沙虫APT集团被认为同时创建了Cyclops Blink和VPNFilter物联网（IoT）僵尸网络。VPNFilter于2018年首次被发现，其目标是路由器和存储设备。据报道，它还感染了数十万台设备。

Cyclops Blink恶意软件分析

Cyclops Blink是一个用C语言编写的模块化恶意软件。在其核心组件中，恶意软件要做的第一件事是检查其可执行文件名是否以“[k]开头。如果不以“[k]开头，则执行以下例程：

它将stdout和stderr文件描述符重定向到/dev/null。

它为SIGTERM、SIGINT、SIGBUS、SIGPIPE和SIGIO信号设置默认处理程序。

它用一个新的“[ktest]”进程名重新加载自己。

然后等待37秒，然后设置硬编码参数。其中包括硬编码的C&C服务器，以及与C&C服务器通信时应使用的间隔。

它还通过调用pipe（）函数为进程间通信（IPC）创建一个管道，以获取用于读取和写入数据的两个文件描述符。它还通过使用ioctl（）为写入文件描述符启用非阻塞I/O。

在此之后，将在内存中创建一个新的数据包，然后将其发送到C&C服务器。

确认Cyclops Blink感染华硕路由器

研究人员已经能够确定Cyclops Blink的僵尸网络攻击从受损的WatchGuard设备和华硕路由器感染了路由器。这些被入侵的设备定期连接到C&C服务器，这些服务器本身托管在被入侵的WatchGuard设备上。

据调查显示，全世界有超过200名Cyclops Blink受害者。受感染的WatchGuard设备和华硕路由器的典型国家是美国、印度、意大利、加拿大和一长串其他国家，包括俄罗斯。应该注意的是，这些受害者看起来并不是经济、军事或政治间谍的重要目标。