Cyclops Blink Malware

Flere cybersikkerhedsbureauer fra USA og Storbritannien har udgivet en ny fælles sikkerhedsrådgivning, der beskriver deres resultater af en malwaretrussel sporet som Cyclops Blink. Ifølge rapporten menes malwaren at være forbundet med en russisk-støttet cyberspionagegruppe kendt som Sandworm. Den samme gruppe hackere er også blevet sporet som Voodoo Bear, BlackEnergy og TeleBots, og anslås at have været aktive i næsten 20 år.

Cyclops Blink ser ud til at være efterfølgeren til den tidligere Sandworm malware kendt som VPNFilter, som blev udsat for offentligheden tilbage i 2018. Det nye truende værktøj er designet til at skabe et botnet af kompromitterede WatchGuard Firebox og lignende netværksenheder. Truslen bliver spredt vilkårligt og på en udbredt måde.

Truende funktioner

Når først den er etableret på målrettede enheder, giver Cyclops Blink bagdørsadgang til de kompromitterede netværk for Sandworm-hackere. De invasive træk ved truslen spredes gennem specifikt designede moduler. Nogle af de mest bemærkelsesværdige skadelige funktioner af malware inkluderer evnen til at hente yderligere filer, eksfiltrerede valgte filer, indsamle og transmittere enhedsoplysninger og få opdateringer fra driften af Command-and-Control (C2) serveren.

De teknikker, som Cyclops Blink bruger til at integrere sig selv i de inficerede enheder, gør det muligt for den at udnytte legitime firmwareopdateringskanaler. Som et resultat kan truslen fortsætte på systemet gennem genstart og endda under hele den officielle firmwareopdateringsproces.

WatchGuard udgav sin egen meddelelse, hvor den siger, at cirka 1 % af dets aktive firewall-enheder kan være påvirket af truslen. Alle konti på de brudte systemer bør formodes at være kompromitteret, og de berørte organisationer bør implementere de nødvendige trin for at afbryde netværksenhedernes administrationsgrænseflade fra internettet.