Cyclops Blink una reciente red de "bots" (conocidas también como botnets), ha tenido como blanco los routers de la marca ASUS, casi un mes después de que se diera a conocer que el malware utilizaba los "Firewalls" de la marca Watchguard como un puente para obtener acceso remoto a las redes vulneradas.

La empresa Trend Micro publicó un informe en el que indica que "el propósito principal de la botnet es construir una infraestructura para futuros ataques a objetivos de alto valor", dado que ninguno de los hosts infectados "pertenece a organizaciones críticas, o que tengan un valor evidente en el espionaje económico, político o militar".

Esta botnet Cyclops Blink ha sido determinada por las agencias de inteligencia del Reino Unido y de Estados Unidos como un marco de sustitución de VNPFilter, otro malware que ha explotado dispositivos de red, principalmente routers de pequeñas oficinas/oficinas domésticas -SOHO (Small Office/Home Office)- y dispositivos de almacenamiento conectados a la red -NAS (Network Attached Storage).

Otras intrusiones de alto perfil como los ataques de 2015 y 2016 a la red eléctrica ucraniana, el malware NotPetya en el 2017 y el malware Olympic Destroyer en el 2018 a los Juegos Olímpicos de Invierno han sido vinculados con el actor ruso Sandworm (también conocido como Voodo Bear) y patrocinado por el Estado Ruso, se le ha atribuido los malware mencionados al principio, VPN filter y Cyclops Blink.

Este botnet modular avanzado, escrito en el lenguaje de programación C, afecta a varios modelos de routers ASUS, algo que la compañía está consciente y trabaja en actualizaciones para hacer frente a cualquier posible explotación, estos son la lista de modelos afectados:

· GT-AC5300 con software inferior a 3.0.0.4.386.xxxx

· GT-AC2900 con software inferior a 3.0.0.4.386.xxxx

· RT-AC5300 con software inferior a 3.0.0.4.386.xxxx

· RT-AC88U con software inferior a 3.0.0.4.386.xxxx

· RT-AC3100 con software inferior a 3.0.0.4.386.xxxx

· RT-AC86U con software inferior a 3.0.0.4.386.xxxx

· RT-AC68U, AC68R, AC68W, AC68P con software inferior a 3.0.0.4.386.xxxx

· RT-AC66U_B1 con software inferior a 3.0.0.4.386.xxxx

· RT-AC3200 con software inferior a 3.0.0.4.386.xxxx

· RT-AC2900 con software inferior a 3.0.0.4.386.xxxx

· RT-AC1900P, RT-AC1900P con software inferior a 3.0.0.4.386.xxxx

· RT-AC87U (obsoleto)

· RT-AC66U (obsoleto)

· RT-AC56U (obsoleto)

Cyclops Blink, además de utilizar el programa OpenSSL para cifrar las comunicaciones con sus servidores de comando y control- C2 (Command and Control)-, también incorpora módulos especializados que pueden leer y escribir desde la memoria flash de los dispositivos, lo que le otorga la capacidad de lograr la persistencia y sobrevivir a los re inicios de fábrica.

Un segundo módulo de reconocimiento funciona de canal para filtrar información desde el dispositivo hackeado hasta el servidor C2, mientras que un componente de descarga de archivos se encarga de recuperar los datos de aplicación (payloads) arbitrarios de manera opcional a través de HTTPS.

Actualmente se desconoce el modo exacto de acceso inicial, pero desde junio de 2019 se dice que Cyclops Blink ha afectado a dispositivos WatchGuard y routers Asus ubicados en Estados Unidos, India, Italia, Canadá y Rusia. Algunos de los hosts afectados pertenecen a un bufete de abogados en Europa, una mediana compañía que produce equipos médicos para dentistas en el sur de Europa y una empresa de fontanería en Estados Unidos.

Trend Micro advierte que las "Botnets eternas", es a lo que podría llevar la poca frecuencia de parches y la ausencia de "software" de seguridad en la lucrativa superficie de ataque que generan los routers y dispositivos del Internet de las Cosas (IoT - Internet of Things por sus siglas en ingles).

"Una vez que un dispositivo IoT está infectado con malware, el atacante puede tener acceso a Internet sin restricciones para descargar y desplegar más etapas de malware para el reconocimiento, espionaje, puentes de acceso para otro dispositivos o cualquier otra cosa que el atacante quiera hacer", dicen los investigadores.

"En el caso de Cyclops Blink, hemos visto dispositivos comprometidos durante más de 30 meses (unos dos años y medio) seguidos y que se estaban configurando como servidores estables de comando y control para otros bots".