0
0
Malware tem ligações com o Sandworm, apoiado pelo Kremlin, gangue por trás do malware VPNFilter que em 2018 teve como alvo roteadores e dispositivos de armazenamento
O malware Cyclops Blink infectou roteadores fabricante taiwanesa Asus no que a Trend Micro diz parecer uma tentativa de transformar esses dispositivos comprometidos em servidores de comando e controle (C&C) para ataques futuros. Além de roteadores, a Asus fabrica placas-mãe, placas de vídeo, discos óticos e computadores portáteis, além de componentes para empresas como a Sony (PlayStation 2), Apple (iPod, iPad e MacBook), Alienware, Falcon Northwest, HP e Compaq.
Em comunicado, a Asus disse que está trabalhando em uma correção para o Cyclops Blink e publicará atualizações de software, se necessário. A fabricante recomenda que os usuários redefinam seus gateways para as configurações de fábrica para eliminar quaisquer configurações adicionadas por um invasor, alterar a senha de login, certificar-se de que o acesso de gerenciamento remoto da WAN esteja desativado e garantir que o firmware mais recente esteja instalado para ser seguro.
O Cyclops Blink tem ligações com o Sandworm, apoiado pelo Kremlin, gangue por trás do malware VPNFilter que em 2018 teve como alvo roteadores e dispositivos de armazenamento. O grupo hacker também realizou vários ataques de alto nível, incluindo os ciberataques de 2015 e 2016 à rede de energia elétrica da Ucrânia, NotPetya em 2017 e o vazamento de e-mail da campanha presidencial francesa no mesmo ano.
O alerta da Trend Micro sobre o sequestro de roteadores surge na sequência de um comunicado conjunto no mês passado do FBI, CISA, Departamento de Justiça dos EUA e do Centro Nacional de Segurança Cibernética do Reino Unido sobre o Cyclops Blink, que as agências disseram que parecia ser o substituto do Sandworm para o VPNFilter. Na época, a botnet estava de olho nos dispositivos de firewall da WatchGuard.
“Nossos dados também mostram que, embora o Cyclops Blink seja uma botnet patrocinada pelo governo [russo], seus servidores e bots de C&C afetam dispositivos WatchGuard Firebox e Asus que não pertencem a organizações críticas ou aqueles que têm um valor evidente em espionagem econômica, política ou militar”, disse a Trend Micro. “Portanto, acreditamos que é possível que o principal objetivo do botnet Cyclops Blink seja construir uma infraestrutura para novos ataques a alvos de alto valor.”
E embora o Cyclops Blink tenha infectado roteadores desses dois fornecedores de hardware, “temos evidências de que os roteadores de pelo menos um fornecedor que não seja Asus e WatchGuard também estão se conectando aos servidores C&C do Cyclops Blink, mas até agora não conseguimos coletar amostras de malware para esta marca de roteador”, disse empresa de segurança.
Segundo a Trend Micro, não está claro como o malware entra em um dispositivo, embora provavelmente envolva a exploração de uma senha de administrador padrão para obter acesso por meio de um serviço de gerenciamento remoto habilitado.
FONTE: CISO ADVISOR