Cyclops Blink Malware

Flere cybersikkerhetsbyråer fra USA og Storbritannia ga ut en ny felles sikkerhetsrådgivning som beskriver funnene deres av en trussel mot skadelig programvare sporet som Cyclops Blink. Ifølge rapporten antas skadevaren å være assosiert med en russisk-støttet nettspiongruppe kjent som Sandworm . Den samme gruppen hackere har også blitt sporet som Voodoo Bear, BlackEnergy og TeleBots, og anslås å ha vært aktiv i nærmere 20 år.

Cyclops Blink ser ut til å være etterfølgeren til den forrige Sandworm malware kjent som VPNFilter , som ble utsatt for publikum tilbake i 2018. Det nye truende verktøyet er designet for å lage et botnett av kompromitterte WatchGuard Firebox og lignende nettverksenheter. Trusselen spres vilkårlig og på en utbredt måte.

Truende funksjoner

Når den er etablert på målrettede enheter, gir Cyclops Blink bakdørstilgang til de kompromitterte nettverkene for Sandworm-hackerne. De invasive egenskapene til trusselen er spredt gjennom spesialdesignede moduler. Noen av de mest bemerkelsesverdige skadelige funksjonene til skadelig programvare inkluderer muligheten til å hente flere filer, eksfiltrerte valgte filer, samle inn og overføre enhetsinformasjon og få oppdateringer fra operasjonene til Command-and-Control (C2)-serveren.

Teknikkene som brukes av Cyclops Blink for å bygge seg inn i de infiserte enhetene, lar den utnytte legitime firmwareoppdateringskanaler. Som et resultat kan trusselen vedvare på systemet gjennom omstart og til og med gjennom den offisielle fastvareoppdateringsprosessen.

WatchGuard publiserte sin egen rådgivning der den sier at omtrent 1 % av dens aktive brannmurenheter kan være påvirket av trusselen. Alle kontoer på de brutte systemene bør antas å være kompromittert, og de berørte organisasjonene bør implementere de nødvendige trinnene for å koble fra administrasjonsgrensesnittet til nettverksenhetene fra Internett.