Router ASUS attaccati dalla botnet russa Cyclops Blink

Secondo un nuovo rapporto di Trend Micro, router ASUS di tutto il mondo sarebbero stati colpiti dalla botnet russa Cyclops Blink

L’ombra di una botnet proveniente dalla Russia avvolge i router ASUS di tutto il mondo. È quanto risulta da alcune indagini avviate dai ricercatori di Trend Micro, che nelle scorse ore hanno dato contezza di una nuova minaccia che ha preso di mira gli apparecchi del produttore taiwanese.

Al fine di comprender meglio il discorso, appare agevole fare un passo indietro per spiegare cos’è una botnet, visto anche l’intreccio con l’argomento. Con questo termine si intende infatti una rete di computer che viene controllata da remoto da un cosiddetto botmaster, e composta da una catena più o meno ampia di dispositivi infettati attraverso un malware specializzato. Nel caso dell’oggetto dell’articolo, è importante precisare che questa rete sembrerebbe innocua, in quanto non punterebbe, come precisato dalla stessa fonte, su bersagli di altro profilo. Semmai, questa rete potrebbe servire agli hacker per consolidare la propria infrastruttura per approntare operazioni future.

Ma chi c’è dietro a tutto questo? Dalle indagini dei ricercatori di Trend Micro campeggia un nome: Cyclops Blink, una botnet finanziata dal Cremlino. Proprio quest’ultimo dato evidenzierebbe il sospetto di possibili legami tra l’attacco informatico e gli accadimenti in Ucraina. Da quello che possiamo sapere, la botnet Cyclops Blink è attiva dal 2019 ed è stata associata al gruppo noto come Sandworm o Voodo Bear. Questo gruppo era a sua volta già comparso sulla scena nel 2015, nell’ambito di un attacco alla rete elettrica dell’Ucraina (guarda caso) e, più recentemente, per alcuni attacchi in Georgia, altro territorio (rinnoviamo il guarda caso di prima) in rapporti tutt’altro che floridi con la Russia.

Router ASUS, pericolo botnet Cyclops Blink

In base alle ricostruzioni della fonte, Cyclops Blink viene descritto come un “malware modulare scritto in C“. Senza entrare in inutili e astrusi tecnicismi, Trend Micro spiega che dopo avere infettato il sistema, tale botnet stabilisce una serie di connessioni ai server C&C  (Command & Control) attraverso la quale gli hacker determinano poi i moduli da caricare e l’attacco da condurre, tenendo conto delle necessità del momento.

ASUS ha già pubblicato una lista preliminare di router colpiti dall’attacco, consigliando di ripristinare il dispositivo dalle impostazioni di fabbrica in caso di sospetta infezione e aggiornare il firmware all’ultima versione disponibile (comunque successiva alla 3.0.0.4.386.xxxx). Nel frattempo, continuano le indagini e bisognerà anche comprendere l’efficacia nel tempo della soluzione prospettata, senza tralasciare poi i discorsi legati ai router ASUS ormai tagliati fuori da qualsivoglia supporto software, per i quali l’unica strada sembra quella del cambio di apparato.