De fabrikant ASUS heeft een beveiligingsadvies uitgebracht omdat een malware die bekend staat als Cyclops Blink en gekoppeld is aan Rusland, actief zijn routers over de hele wereld aanvalt. Deze malware is gekoppeld aan een door Rusland gesteunde hackgroep en richt zich op apparaten voor thuisgebruik en kleine/middelgrote kantoren om deze te infecteren en er volledige controle over te krijgen. Als je besmet bent met dit nieuwe virus, zal het nog steeds aanwezig zijn, zelfs als je de router terugzet naar de fabrieksinstellingen. Wil je weten om welke routers het gaat en hoe je dit kunt elimineren?
Wat doet dit virus op mijn ASUS-router?
Deze nieuwe malware infecteert enkele kwetsbare ASUS-routermodellen, het kan misbruik maken van een kwetsbaarheid om de router binnen te dringen en zichzelf permanent te installeren. Dit betekent dat als je de router reset, de router teruggaat naar de fabrieksinstellingen, maar de Cyclops Blink-malware zal nog steeds aanwezig zijn, deze wordt niet verwijderd, dus het is een vrij groot probleem voor de overgrote meerderheid van de gebruikers. Dit nieuwe virus is modulair, dus het kan zonder problemen meerdere doelen hebben, en volgens TrendMicro is de afgelopen dagen een nieuwe module gedetecteerd die ASUS-routers infecteert.
We moeten niet vergeten dat TrendMicro het cyberbeveiligingsbedrijf is dat verantwoordelijk is voor het leveren van beveiliging aan ASUS-routers met ASUS AiProtection en AiProtection Pro. Deze TrendMicro-technologie biedt klanten beveiliging tegen internetbedreigingen, waaronder een krachtig bidirectioneel Intrusion Prevention System (IPS).
Met deze malware kan het flashgeheugen van de ASUS-router worden gelezen om informatie te verzamelen over kritieke bestanden, uitvoerbare bestanden, gegevens en bibliotheken. Vervolgens krijgt de malware de opdracht om zichzelf in dit flashgeheugen te installeren en permanente persistentie tot stand te brengen, aangezien deze ruimte niet wordt gewist met de typische fabrieks-RESET. Op dit moment is de verspreiding van deze malware wijdverbreid, dus het is erg belangrijk dat u uw ASUS-router goed beschermt. Het is zeer waarschijnlijk dat deze malware binnenkort een module bevat om andere thuisrouters en kleine en middelgrote kantoren aan te vallen.
Betreffende ASUS-routermodellen
In het ASUS-beveiligingsadvies hebben ze alle routermodellen beschreven die door deze malware kunnen worden beïnvloed. Hier zijn alle betrokken modellen:
- GT-AC5300
- GT-AC2900
- RT-AC5300
- RT-AC88U
- RT-AC3100
- RT-AC86U
- RT-AC68U, AC68R, AC68W, AC68P
- RT-AC66U_B1
- RT-AC3200
- RT-AC2900
- RT-AC1900P, RT-AC1900P
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
EOL-modellen ontvangen geen firmware-update, dus u moet de router zo snel mogelijk vervangen om te voorkomen dat u door deze malware wordt geïnfecteerd. Het is echter mogelijk dat ze een uitzondering maken en over een paar weken een noodfirmware uitbrengen om deze problemen op te lossen.
Zoals u kunt zien, worden de meeste Wi-Fi 5-routers van de fabrikant getroffen door deze malware. Daarom raden we u aan waakzaam te zijn over nieuwe firmware-updates om dit probleem te verhelpen.
Wat kan ik doen om mijn ASUS-router te beschermen?
Als u niet door deze malware bent geïnfecteerd, moet u het volgende doen om te voorkomen dat het wordt:
- Werk bij naar de nieuwste beschikbare firmwareversie en let goed op updates.
- Zorg ervoor dat het beheerderswachtwoord sterk is en niet gemakkelijk te raden.
- Schakel extern beheer van de router uit, hetzij via het web via HTTP/HTTPS of via SSH.
- Schakel AiCloud 2.0 op de router uit.
Als u al door deze malware bent geïnfecteerd, moet u het volgende doen:
- Flash de router opnieuw met een firmware, de huidige of een nieuwe, handmatig. Door dit te doen, moet het deel van het flashgeheugen waar de malware zich bevindt, worden overschreven. Hoewel sommige sites aangeven dat het vanwege persistentie verplicht is om een nieuwe router te kopen, is dit niet correct, een nieuwe firmware flashen zou voldoende moeten zijn.
- Update de router met de nieuwste firmwareversie
- Neem de bovenstaande beveiligingsmaatregelen over het beheerderswachtwoord, schakel het beheer op afstand van de router en AiCloud 2.0 uit.
Het is opnieuw bewezen dat het inschakelen van extern beheer van een apparaat helemaal niet veilig is, dus als u toegang tot uw ASUS-router nodig hebt, gebruikt u de VPN servers van OpenVPN, IPsec of Instant Guard, omdat we veel opties hebben om uit te kiezen en er geen reden is om deze diensten niet te gebruiken.
We hebben met ASUS gesproken en ze hebben bevestigd dat ze volgende week een firmware-update voor alle getroffen modellen zullen uitbrengen, zodat deze malware ons niet kan infecteren.
