「Cyclops Blink」は2019年6月頃に登場したモジュール型マルウェアの一種で、2018年頃に世界中で猛威を奮った「VPNFilter」と呼ばれるマルウェアの亜種とみられている。VPNFilterは主に中小企業や個人のルータやストレージデバイスを標的としていたことで知られているが、Cyclops Blinkでも標的の中心になったのはWatchGuardが提供しているネットワークセキュリティアプライアンスのFireboxだった。このCyclops Blinkに、ASUS製ルータを標的にする亜種が発見されたとTrend Microが報告している。
Cyclops Blinkは、標的のデバイスへの感染に成功すると、C2(Command and Control)との通信を確立して侵害を永続化する。その後、C2サーバから送信されたコマンドに従ってデバイスから情報を収集するほか、外部のボットネットから追加のファイルをダウンロードして実行することもできる。マルウェアの実行中に新しいモジュールを追加する機能も持つ。Cyclops Blinkはデバイスのフラッシュメモリを読み書きできるため、ファクトリーリセットなどを実施してデバイスを初期化しても侵害を継続できる可能性があるという。
-
Cyclops Blinkが持つコアコンポーネントを対象としたコマンドリスト 引用:Trand Micro
新たに発見された亜種はASUS製ルータを狙うもので、WatchGuard製品を対象としたものとは基本的に同じコードではあるものの、新しいブランド用に再コンパイルされているという。Trend MicroのレポートはASUS RT-AC68Uで調査した結果をまとめたものになっているが、RT-AC56Uなどその他のASUS製ルータも同様の影響を受ける危険性があると指摘されている。
Cyclops Blinkを使用した攻撃活動には、ロシア軍参謀本部情報総局の支援を受けた「Sandworm」と呼ばれるAPT(脅威グループ)が関与していると見られている。Sandwormは別名Voodoo BearやTelebotsなどとも呼ばれ、ウクライナの電力網を標的にした2015年の「BlackEnergy」や2016年の「Industroyer」、2017年の大規模ランサムウェア攻撃「NotPetya」といったサイバー攻撃の首謀者とされている。
Trend Microの調査では、すでに世界中で200以上のデバイスがCyclops Blinkに感染したことが判明しているという。現時点では、それらのデバイスは軍事的や政治的な活動とは無関係に見えるものの、より規模の大きなボットネットを獲得した上でブルートフォース攻撃などの別の攻撃に悪用されるリスクもあるという。
