TechSpot 報導稱，一個名為Cyclops Blink 的“模塊化殭屍網絡”，正在劫持全球範圍內諸多型號的華碩（Asus）路由器。英國國家網絡安全中心（NCSC）指出，該惡意軟件疑似有俄方背景。自2019 年冒頭以來，其最初針對的是WatchGuard Firebox 設備。然而幕後的Sandworm 黑客組織，也與NotPetya 勒索軟件等臭名昭著的網絡攻擊有關。

PDF截圖（來自：NCSC）

據說Cyclops Blink 旨在劫持華碩公司的多款路由器，以將易受攻擊的設備用於命令和控制（C&C）服務器。

而其背後的Sandworm 黑客組織，已在2017 年6 月開始肆虐全球的大規模勒索工軟件攻擊中造成數十億美元的損失。

再往前還有在2015-2016 年導致烏克蘭地區停電的BlackEnergy 惡意軟件。

最初被盯上的WatchGuard Firebox 設備

趨勢科技（Trend Micro）研究人員指出，Cyclops Blink 利用受感染的設備布下了一張大網，而沒有特別針對高價值的政府或外交實體。

兩年半前，黑客入侵了一批受感染的設備，嘗試為威脅參與者構建一個持久性、可遠程訪問受感染網絡的節點。

通過這種模塊化的設計，幕後黑手可輕鬆更新以針對新設備發起攻擊—— 比如近期躺槍的華碩旗下的多款路由器。

Cyclops Blink 概述

Trend Micro 補充道，這些目標似乎對傳說中的“網絡戰”沒有特點的價值——“受害者似乎並不涵蓋經濟、軍事、或間諜活動的明顯有價值的目標”。

舉個例子，一些實時的命令與控制服務器被託管在一家歐洲律師事務所採用的WatchGuard 設備上，另有一家在南歐生產牙醫器材的中等規模企業，以及一家美國地區的管道廠商。

至於這個殭屍網絡的確切目的—— 比如是否旨在用於分佈式拒絕服務（DDoS）攻擊、間諜活動、或網絡代理—— 仍有待時間去檢驗。

不過更顯而易見的是，Cyclops Blink 是一款相當高級的惡意軟件，專注於持久潛伏、並且能夠在部分節點的基礎設施被移除的情況下繼續存在。

惡意軟件細節

此外研究人員推測另有一個廠商的設備固件遭到了破壞，但暫時無法給出確切的定論。已知的是，Cyclops Blink 會使用硬編碼的TCP 端口和C&C 服務器進行通信。

對於每個端口，它都會在Netfilter Linux 內核防火牆中製定一條新的規則，以允許與其進行出口通信。建立連接後，惡意軟件會初始化一個OpenSSL 庫，然後其核心組件會執行一組硬編碼模塊。

然後惡意軟件會將各種參數推送到這些模塊，以返回核心組件中使用OpenSSL 函數加密的數據，然後再將其發回給C&C 服務器端。

綜合分析來看，Cyclops Blink 很像是2018 年冒頭的VPNFilter 惡意軟件的繼任者。後者也被設計成能夠感染路由器等聯網設備，以“虹吸”數據、並供將來的破壞性攻擊使用。

而新編的華碩模塊，被用於訪問和替換路由器的閃存—— 殭屍網絡從閃存讀取80 個字節，將其寫入主通信管道，然後等待帶有替換內容的所需數據命令。

第二個模塊從受感染的設備收集數據，並將其發送到C2 服務器。接著第三個“文件下載”（0x0f）模塊會利用DNS over HTTPS（簡稱DoH）從互聯網上獲取內容。

功能剖析

以下是受影響的華碩路由器型號（3.0.0.4.386.xxxx 以下固件版本）：

● GT-AC5300

● GT-AC2900

● RT-AC5300

● RT-AC88U

● RT-AC3100

● RT-AC86U

● RT-AC68U / AC68R / AC68W / AC68P

● RT-AC66U_B1

● RT-AC3200

● RT-AC2900

● RT-AC1900 / AC1900P

● RT-AC87U（已停產）

● RT-AC66U（已停產）

● RT-AC56U（已停產）

模塊信息

截止發稿時，華碩方面尚未發布固件更新，但給出了一套臨時的“設備重置”緩解方案。

（1）登錄Web GUI，點擊管理→ 恢復/ 保存/ 上傳設置；

（2）選擇初始化所有設置、並清除所有數據日誌；

（3）點擊恢復按鈕以確認操作。

命令與控制服務器列表

重置完成後，如果可行，還請將您的華碩路由器升級至最新版的固件、確保將默認管理員密碼修改為更安全的密碼、並禁用遠程原理（默認禁用/ 且只能在高級設置中啟用）。

規則與簽名

對於現已不受支持（EOL）的三款型號—— 包括RT-AC87U / AC66U / AC56U —— 它們將無法收到任何固件更新。在此建議是立即停用，並用更安全的新型號替換。