Αξιωματούχοι της κυβέρνησης των ΗΠΑ ανακοίνωσαν σήμερα τη διακοπή της λειτουργίας του botnet Cyclops Blink που ελέγχεται από την υποστηριζόμενη από τη Ρωσία ομάδα hacking Sandworm πριν χρησιμοποιηθεί σε επιθέσεις.
Δείτε επίσης: To VLC Media Player καταχράται από Κινέζους hackers
Το malware, που χρησιμοποιείται από την Sandworm για τη δημιουργία αυτού του botnet τουλάχιστον από τον Ιούνιο του 2019, στοχεύει συσκευές firewall WatchGuard Firebox και πολλά μοντέλα δρομολογητών ASUS.
Το Cyclops Blink επιτρέπει στους εισβολείς να εδραιώσουν το persistence στη συσκευή μέσω ενημερώσεων firmware, παρέχοντας απομακρυσμένη πρόσβαση σε παραβιασμένα δίκτυα.
Αυτό το malware είναι modular, καθιστώντας εύκολη την αναβάθμιση για τη στόχευση νέων συσκευών και την αξιοποίηση νέων ομάδων εκμεταλλεύσιμου hardware.
Το malware αφαιρέθηκε από μολυσμένες συσκευές Watchguard και Asus
Μετά την αρχική δικαστική εξουσιοδότηση αυτής της επιχείρησης του Υπουργείου Δικαιοσύνης των ΗΠΑ στις 18 Μαρτίου, το malware αφαιρέθηκε από όλες τις εναπομείνασες αναγνωρισμένες συσκευές Watchguard που λειτουργούσαν ως command and control servers.
Το FBI έχει ειδοποιήσει τους κατόχους παραβιασμένων συσκευών στις Ηνωμένες Πολιτείες και στο εξωτερικό μέσω ξένων συνεργατών επιβολής του νόμου για το malware Cyclops Blink.
Ο διευθυντής του FBI Chris Wray είπε ότι το botnet διακόπηκε μετά από στενή συνεργασία με την Watchguard κατά την ανάλυση του malware και την ανάπτυξη εργαλείων ανίχνευσης και τεχνικών αποκατάστασης.
Σε στενή συνεργασία με το FBI, την CISA, το DOJ και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC), η WatchGuard ερεύνησε και ανέπτυξε μια αποκατάσταση για το Cyclops Blink, ένα εξελιγμένο botnet που μπορεί να έχει επηρεάσει περιορισμένο αριθμό συσκευών τείχους προστασίας του WatchGuard.
Δείτε επίσης: Palo Alto Networks: Firewalls και VPN είναι ευάλωτα σε OpenSSL bug
Το WatchGuard μοιράστηκε λεπτομερείς οδηγίες σχετικά με τον τρόπο επαναφοράς των παραβιασμένων συσκευών Firebox σε “καθαρή” κατάσταση για την αποκατάσταση της μόλυνσης και την ενημέρωση τους στην πιο πρόσφατη έκδοση του Fireware OS για την αποφυγή μελλοντικών μολύνσεων.
Το WatchGuard διαδραμάτισε σημαντικό ρόλο στην εξάλειψη της απειλής του Cyclops Blink, με την ταχεία απελευθέρωση εργαλείων ανίχνευσης και αποκατάστασης για την προστασία των συνεργατών και των πελατών του μετά την αποκάλυψη του κακόβουλου λογισμικού από την κυβέρνηση και με τη συνεργασία με το Υπουργείο Δικαιοσύνης των ΗΠΑ στην προσπάθειά του να διακοπή του botnet. Η στενή συνεργασία της εταιρείας με τις κοινότητες των εταίρων και των πελατών της ήταν καθοριστική για τον μετριασμό αυτής της εξελιγμένης απειλής, η οποία επηρέασε λιγότερο από το 1% των συσκευών WatchGuard. — Εκπρόσωπος της WatchGuard
Δείτε επίσης: FFDroider malware: Κλέβει credentials και cookies και παραβιάζει social media accounts
Η Sandworm (παρακολουθείται και ως Voodoo Bear, BlackEnergy και TeleBots), η ομάδα πίσω από το botnet Cyclops Blink, είναι μια ομάδα hacking που χρηματοδοτείται από τη Ρωσία και δραστηριοποιείται από τα μέσα της δεκαετίας του 2000.
Οι χειριστές του πιστεύεται ότι είναι Ρώσοι στρατιωτικοί χάκερ που ανήκουν στη Μονάδα 74455 του Κύριου Κέντρου Ειδικών Τεχνολογιών (GTsST) της ρωσικής GRU.
Πηγή πληροφοριών: bleepingcomputer.com
