據(jù)Bleeping Computer網(wǎng)站消息，多款華碩路由器型號(hào)容易受到名為Cyclops Blink的惡意軟件威脅，并被曝與一個(gè)俄羅斯黑客組織Sandworm存在關(guān)聯(lián)，該組織歷來針對(duì)WatchGuard Firebox和其他SOHO網(wǎng)絡(luò)設(shè)備。

Cyclops Blink能在目標(biāo)設(shè)備上建立與攻擊者的持久性鏈接，使他們能夠遠(yuǎn)程訪問受感染的網(wǎng)絡(luò)。由于Cyclops Blink具有模塊化特性，能夠輕松更新以針對(duì)新的設(shè)備。

在由趨勢(shì)科技協(xié)調(diào)披露的調(diào)查中，發(fā)現(xiàn)該惡意軟件具有 一個(gè)專門針對(duì)多個(gè)華碩路由器的模塊，允許惡意軟件讀取閃存以收集有關(guān)關(guān)鍵文件、可執(zhí)行文件、數(shù)據(jù)和庫(kù)的信息，并在閃存中并建立持久性命令，即使恢復(fù)出廠設(shè)置也不會(huì)擦除。

用于寫入閃存的模塊代碼

由于Cyclops Blink與 Sandworm黑客組織存在關(guān)聯(lián)，后者曾參與或主導(dǎo)了多起大型網(wǎng)絡(luò)攻擊事件，比如在2015年至2016年，利用惡意軟件BlackEnergy和 NotPetya攻擊了烏克蘭的電力系統(tǒng)，因此在未來可能會(huì)出現(xiàn)攻擊者開始針對(duì)其他路由器制造商。

華碩已于3月17日發(fā)布了安全公告，公布了受影響的路由器型號(hào)和固件版本，暫未發(fā)布新的固件更新以阻止 Cyclops Blink，但已發(fā)布可用于保護(hù)設(shè)備的緩解措施：

受影響型號(hào)及固件版本：

• GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100、RT-AC86U
• RT-AC68U, AC68R, AC68W, AC68P
• RT-AC66U_B1、RT-AC3200、RT-AC2900
• RT-AC1900P, RT-AC1900P
• 以上型號(hào)的 3.0.0.4.386.xxxx固件及以下版本;
• RT-AC87U (已過時(shí))
• RT-AC66U (已過時(shí))
• RT-AC56U (已過時(shí))
• 以上不受支持的型號(hào)。

緩解措施：

• 將設(shè)備重置為出廠默認(rèn)設(shè)置：登錄 Web GUI，進(jìn)入管理 → 恢復(fù)/保存/上傳設(shè)置，單擊“初始化所有設(shè)置并清除所有數(shù)據(jù)日志”，然后單擊“恢復(fù)”按鈕;
• 更新到最新的可用固件;
• 確保默認(rèn)管理員密碼已更改為更安全的密碼;
• 禁用遠(yuǎn)程管理(默認(rèn)禁用，只能通過高級(jí)設(shè)置啟用)。

如果用戶使用的是老舊的不再受支持的型號(hào)，因而不會(huì)收到任何更新，華碩建議停止使用，并更換為較新的設(shè)備。

參考來源：https://www.bleepingcomputer.com/news/security/asus-warns-of-cyclops-blink-malware-attacks-targeting-routers/