针对华硕路由器的俄罗斯Cyclops Blink僵尸网络的新变种

落寞瓜子壳 lv.3

发布时间：2022-04-10 13:44:58 485

相关标签： # 服务器# 研究# 服务器# 设备# 信息

华硕路由器已成为一个名为Cyclops Blink大约一个月前，恶意软件滥用WatchGuard防火墙设备，作为远程访问被破坏网络的垫脚石。

根据趋势科技（Trend Micro）发布的一份新报告，僵尸网络攻击的“主要目的是建立一个基础设施，以便进一步攻击高价值目标”，因为受感染的主机“不属于关键组织，也不属于那些对经济、政治或军事间谍活动具有明显价值的组织”

来自英国和美国的情报机构的特点是CyopOPS闪烁作为VPNFLASH的替代框架，另一种恶意软件利用了网络设备，主要是小型办公室/家庭办公室（SoHo区）路由器和网络附加存储（NAS）设备。

VPNFilter和Cyclops Blink都被认为是俄罗斯国家赞助的演员，被追踪为沙虫（又名伏都教熊），这也与一些引人注目的入侵有关，包括2015年和2016年对乌克兰电网的攻击、2017年的NotPetya攻击，以及2018年冬奥会上的奥林匹克驱逐舰攻击。

Cyclops Blink除了使用OpenSSL加密与指挥和控制（C2）服务器的通信外，还集成了可以从设备闪存中读写的专用模块，使其能够实现持久性并在工厂重置后存活。

第二个侦察模块用作将信息从被黑客攻击的设备中过滤回C2服务器的通道，而文件下载组件则负责通过HTTPS选择性地检索任意有效载荷。

目前尚不清楚初始访问的确切模式，但据说Cyclops Blink自2019年6月以来影响了美国、印度、意大利、加拿大和俄罗斯的WatchGuard设备和华硕路由器。一些受影响的东道主属于欧洲的一家律师事务所、一家为南欧牙医生产医疗设备的中型实体，以及美国的一家管道公司。

由于不经常修补和缺乏安全软件，物联网设备和路由器成为利润丰厚的攻击面，Trend Micro警告称，这可能会导致“永久僵尸网络”的形成

研究人员说：“一旦物联网设备感染了恶意软件，攻击者就可以不受限制地访问互联网，下载和部署更多阶段的恶意软件，用于侦察、间谍、代理或攻击者想要做的任何事情。”。

“在Cyclops Blink的案例中，我们已经看到设备连续30多个月（大约两年半）遭到破坏，并被设置为其他机器人的稳定命令和控制服务器。”

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。