[新聞] 俄國殭屍網路程式瞄準華碩路由器

俄國殭屍網路程式Cyclops Blink瞄準華碩路由器 https://www.ithome.com.tw/news/149978 繼攻擊WatchGuard設備後，Cyclops Blink出現專門瞄準華碩路由器的新變種，華碩表示 正在製作修補程式， 文/林妍溱 | 2022-03-18發表 https://imgur.com/WnRj0T2.jpg 針對殭屍網路程式Cyclops Blink對自家路由器發動攻擊，華碩在3月17日發出安全公告， 表示受影響的產品包括GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100（如上 圖所示，圖片來源／華碩）等。受影響的產品韌體版本皆為3.0.0.4.386.xxxx以前的版本 。 安全廠商趨勢科技近日發現俄羅斯殭屍網路程式Cyclops Blink鎖定並感染華碩的路由器 ，但研究人員認為其他品牌設備也可能成為目標。 Cyclops Blink疑似和俄羅斯國家駭客組織Sandworm或Voodoo Bear有關，它最早於2019年 現蹤，此後活躍至今，擁有高達150多個C&C伺服器組成的龐大網路。今年2月Cyclops Blink曾發展出瞄準WatchGuard Firefox路由器的變種。趨勢科技最近則發現專門瞄準華 碩路由器的新變種。 Cyclops Blink是以C語言撰寫的模組化惡意程式。它的一個模組可讀寫受害裝置的快閃記 憶體，並以加密連線上傳到C&C伺服器，達到蒐集資訊及執行指令的目的。透過儲存在快 閃記憶體，也可長期滲透，且不會被回復出廠設定刪除。 趨勢科技研究人員相信，駭客組織在網路上尋找大量目標。根據網路掃瞄及發放的SSL憑 證分析，全球約有150到200臺裝置已成為宿主。以WatchGuard和華碩設備的攻擊行動來看 ，受害者散佈於美、加、義大利、印度及俄羅斯等多國。在一些案例中，某些裝置感染時 間長達30個月，且被用以代管C&C伺服器以控制殭屍裝置。至少WatchGuard裝置最早從 2019年就遭到感染。此外，由於Cyclops Blink的長期滲透策略，部份感染裝置上的惡意 程式從未被清除。 值得注意的是，雖然Cyclops Blink是國家支持的殭屍網路，不過今年瞄準WatchGuard及 華碩設備的C&C伺服器及殭屍網路，都不屬於關鍵組織或是具有經濟、政治或軍事間諜活 動的價值。趨勢科技研究人員相信Cyclops Blink變種的目的是建立一個基礎架構，用作 未來攻擊更有價值的目標。 依據其他IoT裝置殭屍網路的經驗，目標裝置可能包括多個廠牌。以VPNFilter為例，受害 廠商包括華碩、友訊（D-link）、華為、MikroTik、Netgear、QNAP、TP-Link、Ubiquiti 、UPVEL及ZDE等。因此，雖然趨勢科技目前僅確定WatchGuard及華碩遭感染，但是推斷也 會有針對其他品牌設備的專門變種。 由於回復出廠設定並不能回復已被Cyclops Blink變更過的底層作業系統，因此研究人員 建議，如果企業懷疑有裝置已經感染，最好的方法是另一臺全新裝置。而如果廠商韌體更 新能解決Cyclops Blink，也應儘速安裝。 華碩昨日也發出安全公告。受影響的華碩路由器包括GT-AC5300、GT-AC2900、RT-AC5300 、RT-AC88U、RT-AC3100、RT-AC86U、RT-AC68U、AC68R、AC68W、AC68P、RT-AC66U_B1、 RT-AC3200、RT-AC2900、RT-AC1900P、RT-AC1900P，以及RT-AC87U (EOL)、RT-AC66U (EOL)和RT-AC56U (EOL)。受影響的產品韌體版本皆為3.0.0.4.386.xxxx以前的版本。 https://imgur.com/NQXUbyG.jpg 華碩表示，該公司正在調查Cyclops Blink，並正在製作修補程式，也會持續更新。華碩 呼籲用戶將裝置重設到出廠設定、更新到最新版韌體，同時確保變更管理員密碼，以及關 閉遠距管理功能（預設為關閉）。 -- 03/20 10:02
※ 批踢踢實業坊(ptt.cc), 來自: 114.37.88.206 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1647604761.A.9AB.html

推 abc21086999 : 關不得不願意退出俄羅斯市場 111.71.104.6 03/18 20:08

→ abc21086999 : *怪 111.71.104.6 03/18 20:08

推 ymps6161224 : 樓上有沒有想過 其實是因為退出市 42.77.192.231 03/18 20:32

→ ymps6161224 : 場才被攻擊的 42.77.192.231 03/18 20:32

→ surimodo : 所以不管版本全都受影響111.243.105.136 03/18 20:42

→ NoneWolf : 刀編該負責了吧 180.217.228.38 03/18 20:59

→ justice2008 : 這舞臺我家有兩台耶 114.32.14.43 03/18 21:11

→ Snack : 刀呢，小編上！ 220.134.137.74 03/18 21:17

推 whe84311 : 你遲早要買UniFi的 42.72.122.131 03/18 21:27

推 andy70612 : 繼續使用N-18U壓壓驚 218.173.78.186 03/18 22:38

→ fmp1234 : 舊路由器被放生多久了101.136.225.172 03/18 23:34

→ iceyang : 幸好我用tp連 125.224.15.188 03/18 23:41

推 ppt12527 : 我有RT-AC86U 114.34.215.182 03/18 23:52

推 okamifang : 我韌體換成Merlin的應該就沒事了嗎 1.165.216.223 03/19 01:27

→ okamifang : ？ 1.165.216.223 03/19 01:27

推 EthanWake : 難道要我買 AmpliFi Alien嗎 59.115.224.219 03/19 01:56

推 NgJovi : 中俄戰爭123.194.200.134 03/19 09:24

推 saimeitetsu : AX系列有嗎？ 223.137.254.23 03/19 09:29

→ oppoR20 : 梅林也要看版本啊 梅林版本也是跟 223.141.152.83 03/19 10:57

→ oppoR20 : 著官方更新的 223.141.152.83 03/19 10:57

推 autoupdate : 說買其他家 還滿好笑，他會被攻擊 36.229.239.75 03/19 12:06

→ autoupdate : 純粹玩的人比較多，其他others 市 36.229.239.75 03/19 12:06

→ autoupdate : 佔率低才懶的找你漏洞 36.229.239.75 03/19 12:06

→ yys310 : mikrotik 140.114.18.242 03/19 13:48

推 fb100141 : 21樓正解 誰大打誰 有時間幹嘛去研 111.83.154.108 03/19 14:52

→ fb100141 : 究other 111.83.154.108 03/19 14:52

→ yys310 : 誰大打誰幹嘛不去tp 140.114.18.126 03/19 15:53

→ jay0215 : 中俄大戰！118.167.197.102 03/19 15:57

推 fb100141 : 難道駭客要打你還要昭告天下嗎？ 111.83.154.108 03/19 17:29

推 fb100141 : 你要去打other也沒人反對啊 111.83.154.108 03/19 17:30

推 Arbin : 這應該已經持續一段時間了，不會是 111.82.134.240 03/19 18:23

→ Arbin : 最近才有 111.82.134.240 03/19 18:23

推 jeff40108 : 看到碩粉出來護航我快笑死了 114.37.157.93 03/20 11:08

→ jeff40108 : 只看ptt我還以為華碩網通市佔第一 114.37.157.93 03/20 11:08

→ jeff40108 : 勒 114.37.157.93 03/20 11:08

推 GTX960 : 有夠慘，最晚表態最早被瞄準 49.216.89.237 03/21 03:17

→ AKNorick : 看來有中槍的型號不少要趕快去更新 220.136.74.223 03/21 21:17