“Routers” de Asus y dispositivos WatchGuard, objetivos de un “malware” que los añade a redes de “bots”

La firma de seguridad TrendMicro alerta del “malware” Cyclos Blink que infecta equipos para construir una infraestructura “botnet” desde la que realizar ciberataques a ”objetivos de alto valor”

La 'botnet' Cyclos Blink ataca routers de la marca Asus y dispositivos de WatchGuard en todo el mundo. En la imagen, el "router" Asus ROG STRIX GS-AX5400.
La 'botnet' Cyclos Blink ataca routers de la marca Asus y dispositivos de WatchGuard en todo el mundo. En la imagen, el "router" Asus ROG STRIX GS-AX5400. FOTO: ASUS ASUS

Los ciberdelincuentes detrás de la red de robots informáticos o “botnet” de origen ruso Cyclos Blink han utilizado “routers” de la marca Asus y dispositivos de WatchGuard para lanzar ataques de “malware” a otros equipos y redes privadas, según informa TrendMicro en un informe que recoge Europa Press.

Investigadores de la empresa de ciberseguridad destacan en el informe publicado que esta red, vinculada a los grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) Sandworm o Voodoo Bear, tiene el objetivo de “construir una infraestructura para nuevos ataques a objetivos de alto valor”, según se puede leer en este comunicado.

Gracias a este análisis, desde TrendMicro también han podido comprobar que los dispositivos afectados "no parecen ser objetivos evidentemente valiosos para el espionaje económico, militar o político".

El objetivo de estos ataques han sido los “routers” del fabricante taiwanés Asus, así como los dispositivos de seguridad de WatchGuard, que desarrolla el “hardware” de la red de Firebox y que los ciberdelincuentes han utilizado para obtener acceso a redes privadas.

Cyclops Blink es un “malware” modular escrito en lenguaje C para programadores -que proporciona flexibilidad de programación y baja comprobación de incorrecciones-, que existe desde, al menos, junio de 2019, según ha informado TrendMicro.

Una vez consigue infectar el dispositivo, se configura y modifica su nombre a [ktest] para hacerse pasar por un hilo de kernel de Linux.

Así, los ciberdelincuentes pueden utilizar estas unidades para configurar puntos de acceso remoto para otros servidores de comando y control.

Una vez comienza a comunicarse con su servidor C2, pone en marcha el kit de herramientas de OpenSSL para unirse a la “botnet” y recibir “malware” con el que los controladores pueden manipular el “router” infectado y ampliar la red de “bots” informáticos.

Según la investigación realizada por TrendMicro, hay más de 200 víctimas de Cyclops Blink en todo el mundo en los que se utilizan los dispositivos WatchGuard y los enrutadores Asus, como Estados Unidos, India, Italia, Canadá y Rusia, entre otros países.

Por su parte, Asus informó la semana pasada de que actualmente se encuentra trabajando para acabar con Cyclops Blink y que continuará publicando actualizaciones de “software”.

Para ayudar a los propietarios de sus “routers” a tomar las precauciones necesarias para evitar estos ataques, dio a conocer una serie de pautas a seguir para reestablecer los mecanismos de seguridad de estos dispositivos.

En primer lugar, se debe iniciar sesión en la GUI web, pulsar sobre el botón “Administración”, continuar con “Restaurar/Guardar/Cargar configuración” e “Inicializar toda la configuración y borrar todo el registro de datos”.

Después, se deben actualizar todos los dispositivos con el último “firmware”, reforzar la seguridad con una contraseña más compleja y desactivar la gestión remota en el caso de que se haya activado manualmente desde el menú de “Configuración avanzada”.

Los productos de Asus afectados por Cyclos Blink son GT-AC5300 por debajo de 3.0.0.4.386.xxxx, GT-AC2900 por debajo de 3.0.0.4.386.xxxx, RT-AC5300 por debajo de 3.0.0.4.386.xxxx, RT-AC88U por debajo de 3.0.0.4.386.xxxx, RT- Firmware AC3100 por debajo de 3.0.0.4.386.xxxx, RT-AC86U por debajo de 3.0.0.4.386.xxxx, RT-AC68U, AC68R, AC68W o AC68P por debajo de 3.0.0.4.386.xxxx.

Se unen a este listado de “firmware” afectados RT-AC66U_B1 por debajo de 3.0.0.4.386 .xxxx, RT-AC3200 por debajo de 3.0.0.4.386.xxxx, RT-AC2900 “firmware” bajo 3.0.0.4.386.xxxx, RT-AC1900P, RT-AC1900P “firmware” por debajo de 3.0.0.4.386.xxxx, RT-AC87U (EOL), RT- AC66U (EOL) y RT-AC56U (EOL).