Cyclops Blink Malware

Cyclops Blink Malware

Meerdere cyberbeveiligingsbureaus uit de VS en het VK hebben een nieuw gezamenlijk beveiligingsadvies uitgebracht waarin hun bevindingen worden beschreven van een malwaredreiging die wordt gevolgd als de Cyclops Blink. Volgens het rapport zou de malware geassocieerd zijn met een door Rusland gesteunde cyberspionagegroep die bekend staat als Sandworm. Dezelfde groep hackers is ook gevolgd als Voodoo Bear, BlackEnergy en TeleBots, en is naar schatting al bijna 20 jaar actief.

De Cyclops Blink lijkt de opvolger te zijn van de eerdere Sandworm-malware bekend als VPNFilter, die in 2018 aan het publiek werd blootgesteld. De nieuwe bedreigende tool is ontworpen om een botnet te creëren van gecompromitteerde WatchGuard Firebox en vergelijkbare netwerkapparaten. De dreiging wordt willekeurig en op grote schaal verspreid.

Bedreigende functies

Eenmaal gevestigd op gerichte apparaten, biedt de Cyclops Blink achterdeurtoegang tot de gecompromitteerde netwerken voor de Sandworm-hackers. De invasieve kenmerken van de dreiging worden verspreid via speciaal ontworpen modules. Enkele van de meest opvallende schadelijke functies van de malware zijn de mogelijkheid om extra bestanden op te halen, gekozen bestanden te exfiltreren, apparaatinformatie te verzamelen en te verzenden en updates te krijgen van de bewerkingen van de Command-and-Control (C2) -server.

De technieken die door de Cyclops Blink worden gebruikt om zichzelf in de geïnfecteerde apparaten in te sluiten, stellen het in staat legitieme firmware-updatekanalen te misbruiken. Als gevolg hiervan kan de dreiging op het systeem blijven bestaan door opnieuw op te starten en zelfs tijdens het officiële firmware-updateproces.

WatchGuard heeft zijn eigen advies gepubliceerd waarin staat dat ongeveer 1% van zijn actieve firewall-apparaten door de dreiging kan worden getroffen. Alle accounts op de gehackte systemen moeten worden verondersteld te zijn gecompromitteerd en de getroffen organisaties moeten de nodige stappen implementeren om de beheerinterface van de netwerkapparaten los te koppelen van internet.

Trending

Bezig met laden...