{"id":263538,"date":"2022-03-20T08:53:51","date_gmt":"2022-03-20T07:53:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263538"},"modified":"2022-03-20T09:04:48","modified_gmt":"2022-03-20T08:04:48","slug":"asus-warnt-cyclops-blink-botnet-zielt-auf-router","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/20\/asus-warnt-cyclops-blink-botnet-zielt-auf-router\/","title":{"rendered":"ASUS warnt: Cyclops Blink Botnet zielt auf Router"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit einigen Wochen infiziert das Cyclops Blink Botnet wohl weltweit Netzwerkger\u00e4te. Das Botnet wird von der mutma\u00dflich russischen Sandworm APT betrieben.\u00a0 Hersteller ASUS hat die Woche eine Warnung herausgegeben, die sich an Nutzer seiner Router richtet. Das Cyclops Blink Botnet greift wohl ASUS-Router an, um diese in das Botnet einzuf\u00fcgen. Hier einige Informationen dazu.<\/p>\n

<\/p>\n

Das Cyclops Blink Botnet<\/h2>\n

\"\"Die Malware und das Botnet war bis kurzem unbekannt und wird der russischen Spionage- und Cyber-Angriffsgruppe Sandworm<\/a> (auch bekannt als Voodoo Bear) zugeschrieben. Die Vorl\u00e4ufer der Cyclops Blink-Malware gibt es seit drei Jahren, wobei die Akteure bisher VPNFilter ersetzten. Sicherheitsforscher haben 2018 herausgefunden, dass diese Malware rund 500.000 Router in Privathaushalten und kleinen B\u00fcros infiziert hat. Sie enthielt ein \"wahres Schweizer Taschenmesser\" an Funktionen, das es Hackern erm\u00f6glichte, Datenverkehr auszuschleusen oder zu manipulieren.<\/p>\n

NCSC, CISA, FBI und NSA haben festgestellt, dass die Sandworm-Gruppe eine neue Cyclops Blink-Malware verwendet. Ich hatte Ende Februar 2022 im Blog-Beitrag Russische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a> auf das Botnet hingewiesen. Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Ger\u00e4te des Netzwerkger\u00e4teherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Ger\u00e4ten so zu missbrauchen, dass sie persistent ist, d. h. sie \u00fcberlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls<\/a>.<\/p>\n

Die ASUS-Sicherheitswarnung<\/h2>\n

Blog-Leser Gerold hat die Tage bereits einen Hinweis auf die Sicherheitswarnung hier im Blog hinterlassen (vielen Dank) und auf diesen Artikel<\/a> der Kollegen von Bleeping Computer verlinkt. Mir ist der Hinweis aber auch \u00fcber nachfolgenden Tweet<\/a> von Nicolaus Krassas untergekommen.<\/p>\n

\"Sondworm<\/a><\/p>\n

In einer koordinierten Meldung warnen ASUS und Trend Micro laut diesem Artikel<\/a>, dass die Cyclops Blink-Malware \u00fcber ein spezielles Modul verf\u00fcgt, das auf mehrere ASUS-Router abzielt. Dieses Modul erm\u00f6glicht es der Malware, den Flash-Speicher auszulesen, um Informationen \u00fcber wichtige Dateien, ausf\u00fchrbare Programme, Daten und Bibliotheken zu sammeln.<\/p>\n

Die Malware erh\u00e4lt dann den Befehl, sich im Flash-Speicher einzunisten und dort dauerhaft zu verbleiben, da dieser Speicherplatz selbst bei Werksresets nicht gel\u00f6scht wird. Die Details zum ASUS-Modul von Cyclops Blink hat Trend Micro einen Artikel ver\u00f6ffentlicht<\/a>, in dem die Funktionsweise der Malware erl\u00e4utert wird. Die Kollegen von Bleeping Computer haben nachfolgende Liste an Router-Modellen deriviert.<\/p>\n