Kyklooppi Blink -haittaohjelma

Useat kyberturvallisuusvirastot Yhdysvalloista ja Isosta-Britanniasta julkaisivat uuden yhteisen tietoturvatiedotteen, jossa kerrotaan yksityiskohtaisesti havainnoistaan Cyclops Blink -nimellä jäljitetystä haittaohjelmauhkasta. Raportin mukaan haittaohjelman uskotaan liittyvän Venäjän tukemaan kybervakoiluryhmään, joka tunnetaan nimellä Sandworm . Samaa hakkeriryhmää on jäljitetty myös Voodoo Bearina, BlackEnergynä ja TeleBotsina, ja sen arvioidaan olleen aktiivisia lähes 20 vuotta.

Cyclops Blink näyttää olevan aiemman VPNFilterin nimellä tunnetun Sandworm -haittaohjelman seuraaja, joka paljastettiin yleisölle vuonna 2018. Uusi uhkaustyökalu on suunniteltu luomaan botnet vaarantuneista WatchGuard Fireboxista ja vastaavista verkkolaitteista. Uhkaa levitetään umpimähkään ja laajalle levinneellä tavalla.

Uhkaavat toiminnot

Kun Cyclops Blink on perustettu kohdistetuille laitteille, se tarjoaa Sandworm-hakkereille takaoven pääsyn vaarantuneisiin verkkoihin. Uhan invasiiviset ominaisuudet leviävät erityisesti suunniteltujen moduulien kautta. Haittaohjelman merkittävimpiä haitallisia toimintoja ovat mahdollisuus hakea lisätiedostoja, valikoituja tiedostoja, kerätä ja lähettää laitetietoja sekä saada päivityksiä Command-and-Control (C2) -palvelimen toiminnoista.

Cyclops Blinkin käyttämät tekniikat upottaakseen itsensä tartunnan saaneisiin laitteisiin mahdollistavat sen, että se voi hyödyntää laillisia laiteohjelmistopäivityskanavia. Tämän seurauksena uhka voi jatkua järjestelmässä uudelleenkäynnistyksiä ja jopa koko virallisen laiteohjelmiston päivitysprosessin ajan.

WatchGuard julkaisi oman neuvonsa , jossa se toteaa, että uhka voi vaikuttaa noin yhteen prosenttiin sen aktiivisista palomuurilaitteista. Kaikkien rikottujen järjestelmien tilit on oletettava vaarantuneen, ja asianomaisten organisaatioiden tulee toteuttaa tarvittavat toimenpiteet verkkolaitteiden hallintaliittymän katkaisemiseksi Internetistä.