La guerra tra Ucraina e Russia si sta continuando a svolgere ogni giorno su ogni fronte, su quello fisico ma anche informatico, e sembra che la Russia abbia ingaggiato il team di hacker Sandworm APT, creatore della botnet VPNFilter che si aggirava nel web un paio di anni fa, per sviluppare un nuovo virus, nominato Cyclops Blink.
Questo nuovo malware è stato identificato nei laboratori di Trend Micro Inc. e sembra unico nel suo genere in quanto è persistente, ossia resiste anche al reset di fabbrica ed inoltre non intacca l’interno della rete ma aggiunge il router ad una botnet pre-esistente inviando richieste malevoli ad altri dispositivi per creare danni all’insaputa del propietario.
In tutto ciò sembra che i vecchi router Asus 802.11ac (5GHz) con firmware non recenti siano maggiormente colpiti da questo virus. Il produttore taiwanese consiglia di resettare dapprima il dispositivo e poi flasharci sopra direttamente il nuovo firmware. Oltre a questo Asus consiglia di disabilitare la gestione remota del dispositivo e cambiare la password dell’admin stando a regole di complessità attuali (almeno 12 caratteri, minuscole, maiuscole, caratteri speciali e numeri).
Il produttore ha rilasciato la seguente dichiarazione sul forum Small Net Builder:
ASUS is investigating and working for a remediation for Cyclops Blink and will continue to post software update.
To help owners of these routers take necessary precautions, we compiled a security checklist:
(1) Reset the device to factory default: Login into the web GUI (http://router.asus.com), go to Administration → Restore/Save/Upload Setting, click the “Initialize all the setting and clear all the data log”, and then click Restore button”
(2) Update all devices to the latest firmware.
(3) Ensure default admin password had been changed to a more secure one.
(4) Disable Remote Management (disabled by default, can only be enabled via Advanced Settings).
Affected products:
GT-AC5300 firmware under 3.0.0.4.386.xxxx
GT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC5300 firmware under 3.0.0.4.386.xxxx
RT-AC88U firmware under 3.0.0.4.386.xxxx
RT-AC3100 firmware under 3.0.0.4.386.xxxx
RT-AC86U firmware under 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
RT-AC3200 firmware under 3.0.0.4.386.xxxx
RT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)
Un dettaglio curioso è il fatto che solo i dispositivi Asus sembrano soggetti ad attacchi di questo malware tra i dispositivi consumer mentre nel settore business i dispositivi targettati sembrano essere solo quelli appartenenti al marchio WatchGuard Firebox. Oltretutto non solo i firmware stock sono colpiti dal codice malevole ma anche gli firmware custom come nel caso di Merlin, che sono sviluppati per i router Asus per risolvere problemi del firmware base ed aumentare le prestazioni del dispositivo su cui è installato.
