Cyclops Blink, malware bikinan hacker yang terkait pemerintah Rusia kembali beraksi. Kali ini sejumlah seri router Asus yang jadi incarannya.
Cyclops Blink adalah malware yang sudah beredar sejak 2019, dan malware ini terkait dengan sindikat hacker elit Sandworm, yang diduga punya kaitan dengan pemerintah Rusia.
Menurut National Cyber Security Center (NCSC) Inggris, malware ini awalnya mengincar perangkat WatchGuard Firebox, dan juga terkait dengan ransomware NotPetya, yang menyebabkan kerugian miliaran dolar sejak menyebar ke banyak negara pada Juni 2017, juga malware BlackEnergy yang ada di balik serangan ke pembangkit listrik Ukraina pada 2015 lalu.
Peneliti keamanan di Trend Micro menemukan kalau kini Cyclops Blink memperluas serangannya, tanpa target spesifik seperti pemerintahan negara tertentu, demikian dikutip detikINET dari Techspot, Senin (21/3/2022).
Cyclops Blink menurut Trend Micro bekerja sebagai advance persistence threat di sebuah perangkat. Membuat titik temu untuk akses remote ke jaringan korban. Karena desainnya yang modular, malware ini bisa dengan mudah diperbarui untuk menyerang target baru.
Nah target terbarunya ini adalah sejumlah router Asus yang masih menggunakan jaringan WiFi AC. Cyclops Blink menggunakan port TCP tertentu untuk berkomunikasi dengan server C&C-nya.
Untuk setiap port yang dipakai, malwarenya membuat aturan baru di firewall kernel Netfilter Linux, yang diatur sedemikian rupa agar membolehkan akses ke server tersebut. Saat komunikasi sudah terbentuk, malware akan membuat sebuah library OpenSSL, dan komponen utamanya akan mengeksekusi modul tertentu.
Malwarenya kemudian akan mengaktifkan parameter tertentu ke modul ini, yang akan mengembalikan data yang sudah dienkripsi menggunakan OpenSSL, dan kemudian mengirimkannya ke C&C server milik mereka.
Menurut Trend Micro, malware ini adalah penerus dari malware VPNFilter yang beredar pada 2018. Malware tersebut juga didesain untuk menginfeksi router dan perangkat jaringan tertentu untuk mencuri data dan menjadikannya botnet untuk keperluan lain ke depannya.
Modul Cyclops Blink yang menyerang router Asus ini dibuat untuk mengakses dan mengganti data di flash memory router. Dari flash memory tersebut ada kapasitas sekitar 80 byte yang diakses dan ditulis ulang, yang kemudian ditambah lagi dengan modul kedua untuk mencuri data dari perangkat terinfeksi dan dikirimkan ke server C&C.
Lalu terakhir ada modul ketiga yang akan mengunduh file dari internet menggunakan DNS over HTTPS (DoH).
Berikut adalah seri router Asus yang terdampak, lengkap dengan seri firmwarenya:
- GT-AC5300
- GT-AC2900
- RT-AC5300
- RT-AC88U
- RT-AC3100
- RT-AC86U
- RT-AC68U
- AC68R
- AC68W
- AC68P
- RT-AC66U_B1
- RT-AC3200
- RT-AC2900
- RT-AC1900P
- RT-AC1900P
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Sampai saat ini, Asus belum merilis pembaruan firmware untuk router tersebut. Namun mereka sudah merilis tahapan-tahapan untuk memitigasi malware tersebut. Berikut ini tahapannya:
- Reset perangkat ke pengaturan dari pabrik. Masuk ke laman GUI web - Administration - Restore/Save/Upload Setting - klik Initialize all the setting and clear all the data log - klik Restore.
- Update ke firmware terbaru yang ada
- Pastikan password admin bawaan sudah diganti dengan yang lebih aman
- Matikan Remote Management (secara default sudah dimatikan, hanya bisa dinyalakan lewat Advaced Settings).
Untuk perangkat yang sudah dilabeli EOL (end of life), Asus lepas tangan dan tak akan memberikan pembaruan firmware. Pabrikan asal Taiwan itu merekomendasikan untuk membeli router baru untuk pengguna router yang sudah EOL tersebut.
Simak Video "Lengkap! Jajaran Laptop dan PC Tangguh dari ASUS: Expert P Series Bikin Bisnis Worry-Free"
(asj/fay)