È stata isolata una variante del malware Cyclops Blink usato per la costruzione di una botnet la cui infrastruttura ha l’obiettivo di supportare ulteriori attacchi mirati e di più alto valore, ai danni di router Asus.
L’allerta è alta, perché il nuovo malware si configura come un’altra arma nell’arsenale della guerra ibrida scatenata in concomitanza con l’invasione dell’Ucraina. La botnet, infatti, viene ricondotta al gruppo criminale Sandworm, organizzazione collegata direttamente alla Federazione Russa.
Indice degli argomenti
Che cos’è Cyclops Blink
Cyclops Blink è un malware noto almeno dal 2019, che conta finora almeno 200 vittime in tutto il mondo. Originariamente sviluppato per prendere di mira i dispositivi di rete Watchguard Firebox, dalla nuova ricerca Trend Micro e NCSC del Regno Unito è stato rilevato in dispositivi router Asus.
Il malware Cyclops Blink, secondo le indagini, è direttamente sponsorizzato dallo stato russo: sebbene questi ultimi obiettivi non coincidano con target strategici di Paesi nemici, i ricercatori avvisano che la botnet così creata potrebbe essere utilizzata per attacchi futuri, di maggiore impatto e mirati contro obiettivi sensibili di Paesi non alleati con la Russia.
Cyclops Blink, il malware russo che prende di mira i firewall: nuovo fronte di guerra ibrida
Il funzionamento di Cyclops Blink è modulare
Cyclops Blink, scritto in linguaggio C, nasce con una struttura modulare: questo significa che i criminali possono facilmente aggiornarlo per funzionare con nuovi dispositivi cambiando costantemente le componenti necessarie.
L’oggetto di questa analisi è, infatti, proprio la componente del malware, personalizzata ad hoc, che prende di mira diversi router Asus. Consentendo in questo modo al malware di leggere la memoria flash per raccogliere informazioni su file di sistema importanti, file eseguibili, dati della rete e librerie.
Una volta penetrato nel router, al malware viene impartito il comando necessario per stabilire la persistenza, garantita appunto dal fatto che questo spazio di archiviazione non viene cancellato nemmeno con un ripristino delle impostazioni di fabbrica.
Sommando le vittime target di Asus con le precedenti di Watchguard Firebox, Cyclops Blink è stato rilevato attaccare negli Stati Uniti, in India, Italia, Canada e Russia. Una caratteristica avanzata che gli consente di effettuare attacchi garantendosi un certo grado di riuscita dell’operazione è lo sfruttamento di OpenSSL per le comunicazioni che il malware effettua da e verso i server C&C (di controllo e comando) di riferimento.
Lo stato russo dietro gli attacchi Cyclops Blink
Il gruppo di attaccanti riconducibile al malware Cyclops Blink è l’ormai noto Sandworm. L’organizzazione, conosciuta anche come Unit 74455, è un gruppo APT storico della Federazione Russa, inizialmente identificato come composto da membri dei servizi militari dello stato (GRU).
Sandworm normalmente è responsabile di attacchi di alto profilo, pensiamo ad esempio a quelli del 2015 e 2016 alla rete elettrica ucraina, l’attacco NotPetya del 2017 oppure di un’operazione del 2018 contro l’Organizzazione per la proibizione delle armi chimiche (OPCW).
Con questa botnet, identificata appunto sui dispositivi di rete Asus, non riconducibili a vittime di rilievo strategico, oppure ad attacchi diretti di cyber spionaggio politico, il malware e quindi di conseguenza il gruppo Sandworm alle sue spalle, cercano di agire nell’ombra, sfruttando vittime comuni per ritardare le indagini nei loro confronti.
In realtà, la mission di questa botnet è proprio quella di mirare ad attacchi più grossi, di rilievo verso stati nemici che, vista la situazione geopolitica internazionale che vede l’invasione russa dell’Ucraina, comporta sicuramente una massima allerta.
Le azioni di mitigazione e protezione
Dalle analisi condotte da Trend Micro e dal National Cyber Security Center del Regno Unito, è nata una collaborazione diretta anche con Asus, che ha prontamente identificato il problema e coopera per trovare una soluzione semplice di aggiornamento.
Inoltre, il produttore taiwanese dedica una sezione tra i propri bollettini ufficiali di sicurezza, elencando i firmware sui quali impatta la penetrazione del malware Cyclops Blink:
- Firmware GT-AC5300 sotto 3.0.0.4.386.xxxx
- Firmware GT-AC2900 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC5300 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC88U sotto 3.0.0.4.386.xxxx
- Firmware RT-AC3100 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC86U sotto 3.0.0.4.386.xxxx
- Firmware RT-AC68U, AC68R, AC68W, AC68P sotto 3.0.0.4.386.xxxx
- Firmware RT-AC66U_B1 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC3200 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC2900 sotto 3.0.0.4.386.xxxx
- Firmware RT-AC1900P, RT-AC1900P sotto 3.0.0.4.386.xxxx
- RT-AC87U
- RT-AC66U
- RT-AC56U
Attacchi di questo tipo, mirano a raggiungere grandi numeri di router sparsi per il mondo, in quanto una maggior quantità di router infetti significa anche un grande numero di dati e risorse derivanti dai dispositivi al router collegati: IP Camera, dispositivi IoT, NAS (storage) e via dicendo. Inoltre, la persistenza che il gruppo riesce a generare ne amplifica sicuramente l’impatto, rendendone difficile l’eliminazione una volta infettata la vittima.
La protezione da questa campagna avviene con buone pratiche di generazione password di tutti i dispositivi esposti in Rete.
È raccomandato anche avere cura degli aggiornamenti firmware per tempo, i dispositivi che rimangono non aggiornati sono i primi bersagli di queste campagne malevole.
Essendo di estrema complessità l’operazione di rimozione della minaccia, una volta appurato di esser stati infettati, ricordando l’inefficacia anche del ripristino dei dati di fabbrica sul dispositivo, è raccomandata la sostituzione hardware del router. Per l’organizzazione media risulta quasi controproducente cercare una soluzione per la rimozione di un’infezione da Cyclops Blink.
Trend Micro fornisce l’elenco degli IoC finora raccolti riguardanti Cyclops Blink per i dispositivi Asus e la casa madre produttrice dei router fornisce assistenza sul bollettino di sicurezza ufficiale.
