Marrakech, 21 mars. (Maroc-Actu) –
Les cybercriminels derrière le botnet russe Cyclos Blink ont utilisé Les routeurs de la marque Asus et les appareils WatchGuard. pour lancer des attaques de logiciels malveillants sur d’autres ordinateurs et réseaux privés.
Les chercheurs de la société de cybersécurité TrendMicro ont publié un rapport soulignant que ce réseau, lié à des groupes de menaces persistantes avancées (APT), a été utilisé pour lancer des attaques de logiciels malveillants sur d’autres réseaux privés. Sandworm ou Voodoo Bearvise à « construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur », selon la déclaration.
TrendMicro a également constaté que les appareils touchés « ne semblent pas être des cibles évidentes ayant une valeur d’espionnage économique, militaire ou politique ».
Ces attaques ont visé des routeurs du fabricant taïwanais Asus, ainsi que des dispositifs de sécurité de WatchGuard, qui développe le matériel du réseau Firebox et que les cybercriminels ont utilisé. pour accéder à des réseaux privés.
Cyclops Blink est un » malware » modulaire écrit en langage C pour les programmeurs – qui offre une flexibilité de programmation et une faible vérification des incorrections – qui existe depuis au moins juin 2019, selon TrendMicro.
Une fois qu’il a réussi à infecter l’appareil, il se configure et modifie son nom en . [ktest] pour se faire passer pour un thread du noyau Linux.
Ainsi, les cybercriminels peuvent utiliser ces unités pour mettre en place des points d’accès à distance pour d’autres serveurs de commandement et de contrôle.
Une fois qu’il commence à communiquer avec son serveur C2, il lance la boîte à outils OpenSSL pour rejoindre le « botnet » et recevoir des « logiciels malveillants » avec lesquels les contrôleurs peuvent manipuler le « routeur » infecté et étendre le « botnet » informatique.
Selon les recherches menées par MicroTrend, il y a plus de 200 victimes de la Clignement des cyclopes dans le monde entier où les appareils WatchGuard et les routeurs Asus sont utilisés, tels que États-Unis, Inde, Italie, Canada et Russie.parmi d’autres pays.
De son côté, Asus a indiqué la semaine dernière qu’il travaillait actuellement à tuer Cyclops Blink et qu’il continuerait à publier des mises à jour logicielles.
Pour aider les propriétaires de ses routeurs à prendre les précautions nécessaires pour empêcher de telles attaques, a publié une série de directives à suivre afin de rétablir les mécanismes de sécurité de ces appareils.
Tout d’abord, connectez-vous à l’interface graphique Web, cliquez sur le bouton « Administration », procédez à « Restaurer/Enregistrer/Charger la configuration » et « Initialiser toute la configuration et effacer tous les journaux de données ».
Ensuite, tous les appareils doivent être mis à jour avec le dernier firmware, la sécurité doit être renforcée avec un mot de passe plus complexe et les éléments suivants doivent être désactivés gestion à distance s’il a été activé manuellement à partir du menu « Configuration avancée ».
Les produits Asus affectés par Cyclos Blink sont GT-AC5300 en dessous de 3.0.0.4.386.xxxx, GT-AC2900 en dessous de 3.0.0.0.4.386.xxxx, RT-AC5300 en dessous de 3.0.0.0.4.386.xxxx, RT-AC88U inférieur à 3.0.0.0.4.386.xxxx, RT-AC3100 inférieur à 3.0.0.0.4.386.xxxx, RT-AC86U inférieur à 3.0.0.0.4.386.xxxx, RT-AC68U, AC68R, AC68W ou AC68P inférieur à 3.0.0.0.4.386.xxxx.
Rejoignant cette liste de firmware affectés sont RT-AC66U_B1 sous 3.0.0.4.386 .xxxx, RT-AC3200 sous 3.0.0.4.386.xxxx, RT-AC2900 firmware below 3.0.0.0.4.386.xxxx, RT-AC1900P, RT-AC1900P firmware below 3.0.0.0.4.386.xxxx, RT-AC87U (EOL), RT-AC66U (EOL) et RT-AC56U (EOL).
