Malware Cyclops Blink

Několik agentur pro kybernetickou bezpečnost z USA a Spojeného království vydalo nové společné bezpečnostní doporučení, které podrobně popisuje jejich zjištění o malwarové hrozbě sledované jako Cyclops Blink. Podle zprávy se má za to, že malware je spojen s Ruskem podporovanou kyberšpionážní skupinou známou jako Sandworm . Stejná skupina hackerů byla také sledována jako Voodoo Bear, BlackEnergy a TeleBots a odhaduje se, že je aktivní téměř 20 let.

Zdá se, že Cyclops Blink je nástupcem předchozího malwaru Sandworm známého jako VPNFilter , který byl veřejnosti vystaven již v roce 2018. Nový hrozivý nástroj je navržen tak, aby vytvořil botnet kompromitovaných WatchGuard Firebox a podobných síťových zařízení. Hrozba se šíří bez rozdílu a široce.

Ohrožující funkce

Jakmile je Cyclops Blink zaveden na cílených zařízeních, poskytuje backdoor přístup do kompromitovaných sítí pro hackery Sandworm. Invazivní rysy hrozby se šíří prostřednictvím speciálně navržených modulů. Některé z nejpozoruhodnějších škodlivých funkcí malwaru zahrnují schopnost načítat další soubory, exfiltrovat vybrané soubory, shromažďovat a přenášet informace o zařízení a získávat aktualizace z operací serveru Command-and-Control (C2).

Techniky používané Cyclops Blinkem k vložení do infikovaných zařízení umožňují využívat legitimní kanály aktualizace firmwaru. V důsledku toho může hrozba přetrvávat v systému po restartování a dokonce i během oficiálního procesu aktualizace firmwaru.

WatchGuard zveřejnil své vlastní doporučení , kde uvádí, že přibližně 1 % jeho aktivních firewallových zařízení může být zasaženo hrozbou. Všechny účty na narušených systémech by měly být považovány za kompromitované a postižené organizace by měly provést nezbytné kroky k odpojení rozhraní pro správu síťových zařízení od internetu.