Cyclops Blink Malware
Wiele agencji ds. bezpieczeństwa cybernetycznego z USA i Wielkiej Brytanii opublikowało nowy wspólny poradnik dotyczący bezpieczeństwa, w którym szczegółowo przedstawiły swoje ustalenia dotyczące złośliwego oprogramowania śledzonego jako Cyclops Blink. Według raportu szkodliwe oprogramowanie jest prawdopodobnie powiązane z wspieraną przez Rosję grupą cyberszpiegowską znaną jako Sandworm. Ta sama grupa hakerów była również śledzona jako Voodoo Bear, BlackEnergy i TeleBots i szacuje się, że jest aktywna od blisko 20 lat.
Cyclops Blink wydaje się być następcą poprzedniego złośliwego oprogramowania Sandworm znanego jako VPNFilter, które zostało ujawnione opinii publicznej w 2018 roku. Nowe narzędzie do groźby ma na celu stworzenie botnetu z zaatakowanym WatchGuard Firebox i podobnymi urządzeniami sieciowymi. Zagrożenie jest rozpowszechniane bezkrytycznie i na szeroką skalę.
Funkcje grożące
Po zainstalowaniu na docelowych urządzeniach, Cyclops Blink zapewnia hakerom Sandworm dostęp tylnymi drzwiami do zaatakowanych sieci. Inwazyjne cechy zagrożenia rozprzestrzeniają się za pośrednictwem specjalnie zaprojektowanych modułów. Niektóre z najbardziej godnych uwagi szkodliwych funkcji złośliwego oprogramowania obejmują możliwość pobierania dodatkowych plików, eksfiltrowania wybranych plików, zbierania i przesyłania informacji o urządzeniu oraz uzyskiwania aktualizacji z operacji serwera Command-and-Control (C2).
Techniki wykorzystywane przez Cyclops Blink do wbudowywania się w zainfekowane urządzenia pozwalają mu na wykorzystanie legalnych kanałów aktualizacji oprogramowania układowego. W rezultacie zagrożenie może utrzymywać się w systemie po ponownym uruchomieniu, a nawet podczas oficjalnego procesu aktualizacji oprogramowania układowego.
WatchGuard opublikował własny poradnik, w którym stwierdza, że około 1% aktywnych urządzeń zapory może być dotkniętych zagrożeniem. Należy założyć, że wszystkie konta w naruszonych systemach zostały naruszone, a organizacje, których to dotyczy, powinny wdrożyć niezbędne kroki w celu odłączenia interfejsu zarządzania urządzeń sieciowych od Internetu.
