El Equipo de investigadores de Trend Micro, ha publicado un nuevo informe sobre la red de bots («botnet») llamada Cyclops Blink y su incipiente escalada para aprovechar los fallos de seguridad de los routers de ASUS. Esto sucede casi un mes después de que se revelara que dicho malware utilizaba los cortafuegos («firewall») de WatchGuard. Parece ser que el «propósito principal de la botnet es construir una infraestructura para futuros ataques a objetivos de alto valor», dado que ninguno de los hosts infectados «pertenece a organizaciones críticas, o que tengan un valor evidente en el espionaje económico, político o militar».
Las agencias de inteligencia de Reino Unido y Estados Unidos han caracterizado a Cyclops Blink como un framework para sustituir el de VPNFilter, otro malware que ha explotado dispositivos de red, principalmente routers de pequeñas oficinas/oficinas domésticas («SOHO») y dispositivos de almacenamiento conectados a la red (NAS).
Dado que los dispositivos IoT y los routers se están convirtiendo en una lucrativa superficie de ataque debido a la escasa frecuencia de aplicación de parches y a la ausencia de software de seguridad, Trend Micro advirtió que esto podría conducir a la formación de «botnets eternas»
Una vez que un dispositivo IoT está infectado con malware, un atacante puede tener acceso a Internet sin restricciones para descargar y desplegar más etapas de malware para el reconocimiento, el espionaje, utilizar el dispositivo como proxy o cualquier otra cosa que el atacante quiera hacer.
Productos Afectados
La empresa ASUS ha publicado recientemente un aviso de seguridad sobre sus productos afectados:
- GT-AC5300 firmware under 3.0.0.4.386.xxxx
- GT-AC2900 firmware under 3.0.0.4.386.xxxx
- RT-AC5300 firmware under 3.0.0.4.386.xxxx
- RT-AC88U firmware under 3.0.0.4.386.xxxx
- RT-AC3100 firmware under 3.0.0.4.386.xxxx
- RT-AC86U firmware under 3.0.0.4.386.xxxx
- RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
- RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
- RT-AC3200 firmware under 3.0.0.4.386.xxxx
- RT-AC2900 firmware under 3.0.0.4.386.xxxx
- RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Solución
ASUS está investigando y trabajando para solucionar el problema de Cyclops Blink y seguirá publicando actualizaciones de software.
Para ayudar a los propietarios de estos routers a tomar las precauciones necesarias, la empresa ha recopilado una lista de comprobaciones de seguridad:
- Restablecer el dispositivo a los valores de fábrica.
- Actualizar todos los dispositivos a la última versión de firmware.
- Asegúrese de que la contraseña de administrador por defecto ha sido cambiada por una más segura.
- Desactivar la gestión remota (en caso de que el usuario la haya activado manualmente. Desactivada por defecto, sólo se puede activar a través de la configuración avanzada)
Referencias:
- Trend Micro: https://www.trendmicro.com/en_us/research/22/c/cyclops-blink-sets-sights-on-asus-routers–.html
- NCSC análisis de Malware Cyclops: https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf
- ASUS Aviso de seguridad: https://www.asus.com/content/ASUS-Product-Security-Advisory/
