תוכנה זדונית של Cyclops Blink

סוכנויות אבטחת סייבר מרובות מארה"ב ובריטניה פרסמו ייעוץ אבטחה משותף חדש המפרט את הממצאים שלהם לגבי איום תוכנה זדונית שאחריו עוקבים כ-Cyclops Blink. על פי הדיווח, על פי ההערכות, התוכנה הזדונית קשורה לקבוצת ריגול סייבר הנתמכת על ידי רוסיה הידועה בשם תולעי חול . אותה קבוצה של האקרים נצפתה גם כ-Voodoo Bear, BlackEnergy ו-TeleBots, ולפי ההערכות היא פעילה קרוב ל-20 שנה.

נראה כי ה-Cyclops Blink הוא היורש של תוכנת הזדונית הקודמת של תולעי חול הידועה בשם VPNFilter , אשר נחשפה לציבור כבר בשנת 2018. הכלי המאיים החדש נועד ליצור רשת בוט של WatchGuard Firebox שנפגע ומכשירי רשת דומים. האיום מופץ ללא הבחנה ובאופן נרחב.

פונקציות מאיימות

לאחר שהוקם במכשירים ממוקדים, ה-Cyclops Blink מספק גישה בדלת אחורית לרשתות שנפגעו עבור האקרים של תולעי חול. התכונות הפולשניות של האיום מופצות באמצעות מודולים שתוכננו במיוחד. כמה מהפונקציות המזיקות הבולטות ביותר של התוכנה הזדונית כוללות את היכולת להביא קבצים נוספים, קבצים נבחרים חילצו, לאסוף ולשדר מידע על המכשיר ולקבל עדכונים מפעולות שרת הפקודה והבקרה (C2).

הטכניקות שבהן משתמש ה-Cyclops Blink כדי להטמיע את עצמו במכשירים הנגועים מאפשרות לו לנצל ערוצי עדכון קושחה לגיטימיים. כתוצאה מכך, האיום יכול להימשך על המערכת באמצעות אתחולים מחדש ואפילו לאורך תהליך עדכון הקושחה הרשמי.

WatchGuard פרסמה ייעוץ משלה שבו היא קובעת שכ-1% מהתקני חומת האש הפעילים שלה עשויים להיות מושפעים מהאיום. יש להניח שכל החשבונות במערכות שנפרצו נפגעו, ועל הארגונים המושפעים ליישם את הצעדים הדרושים לניתוק ממשק הניהול של התקני הרשת מהאינטרנט.