Potenziata la botnet Cyclops Blink grazie a Asus

Secondo una nuova ricerca pubblicata giovedì da Trend Micro, i dispositivi Asus vengono presi di mira in quella che sembra essere una campagna botnet sponsorizzata dallo stato.

La botnet Cyclops Blink è osservata almeno da giugno 2019 ed è collegata a Sandworm, il famigerato gruppo russo di minacce persistenti avanzate (APT). Questa connessione è segnalata già da fine febbraio da funzionari della sicurezza informatica per Stati Uniti e Regno Unito; entrambi i governi hanno emesso avvisi avvertendo che i dispositivi del fornitore di sicurezza di rete WatchGuard erano sotto attacco e utilizzati come infrastruttura botnet.

Asus: i dati dei ricercatori

Secondo la ricerca di Trend Micro, una versione separata del malware Cyclops Blink prende ora di mira i router Asus. Il rapporto richiama l'attenzione sull'espansione della botnet e fornisce un'analisi tecnica del funzionamento del malware.

I ricercatori di Trend Micro Feike Hacquebord, Stephen Hilt e Fernando Merces hanno scritto che Cyclops Blink è un "malware modulare". Il malware utilizza tattiche di comando e controllo per infettare le vittime e portarle nella botnet più ampia. Secondo l'indagine di Trend Micro, ci sono più di 200 vittime di dispositivi WatchGuard e router Asus infetti in tutto il mondo.

Tuttavia, i ricercatori hanno notato che, nonostante sia una botnet sponsorizzata dallo stato, i dispositivi presi di mira da Cyclops Blink non sono né utilizzati da organizzazioni critiche né hanno un evidente valore economico, politico o militare. Pertanto, Trend Micro ritiene che "è possibile che lo scopo principale della botnet Cyclops Blink sia quello di costruire un'infrastruttura per ulteriori attacchi a obiettivi di alto valore".

Hacquebord ha paragonato le attuali attività di Cyclops Blink a quelle russe dell'APT Pawn Storm, noto anche come Fancy Bear.

Questo è simile a quello che ha fatto anche un gruppo come Pawn Storm (APT28) nel corso degli anni: compromettere migliaia di indirizzi e-mail di obiettivi atipici, apparentemente per creare l'infrastruttura in grado di inviare e-mail di spear phishing agli obiettivi reali.

ha detto a SearchSecurity.

Tuttavia, a causa della natura modulare di Cyclops Blink, è possibile che ci siano componenti legati allo spionaggio. Tuttavia finora non abbiamo visto questi moduli extra.

Probabile collegamento con l'attacco russo?

Alla domanda se le attività potessero essere collegate all'invasione in corso della Russia in Ucraina, Trend Micro afferma che "non intendeva implicare alcuna relazione tra Ciclope Blink e la guerra in corso in Ucraina", ma ha riconosciuto l'attribuzione passata a Sandworm.

Sandworm è un gruppo di minacce sponsorizzato dallo stato russo responsabile di numerose campagne su larga scala. L'APT è noto soprattutto per essere accreditato degli attacchi distruttivi NotPetya nel 2017. Non solo, è anche responsabile della botnet VPNFilter scoperta per la prima volta nel 2018. Sandworm è stato anche accreditato del Trojan BlackEnergy utilizzato negli attacchi alle infrastrutture critiche contro l'Ucraina nel 2016.