Вредоносное ПО Cyclops Blink

Вредоносное ПО Cyclops Blink Описание

Несколько агентств по кибербезопасности из США и Великобритании выпустили новый совместный бюллетень по безопасности, в котором подробно изложены их выводы об угрозе вредоносного ПО, отслеживаемой как Cyclops Blink. Согласно отчету, вредоносное ПО предположительно связано с поддерживаемой Россией группой кибершпионажа, известной как Sandworm . Та же группа хакеров также отслеживалась как Voodoo Bear, BlackEnergy и TeleBots и, по оценкам, была активна в течение почти 20 лет.

Cyclops Blink, по-видимому, является преемником предыдущей вредоносной программы Sandworm, известной как VPNFilter , которая была представлена общественности еще в 2018 году. Новый инструмент угроз предназначен для создания ботнета из скомпрометированных WatchGuard Firebox и аналогичных сетевых устройств. Угроза распространяется неизбирательно и широко.

Угрожающие функции

После установки на целевых устройствах Cyclops Blink предоставляет хакерам Sandworm бэкдор-доступ к скомпрометированным сетям. Инвазивные свойства угрозы распространяются через специально разработанные модули. Некоторые из наиболее заметных вредоносных функций вредоносного ПО включают в себя возможность извлечения дополнительных файлов, извлечения выбранных файлов, сбора и передачи информации об устройстве и получения обновлений в результате операций сервера управления и контроля (C2).

Методы, используемые Cyclops Blink для внедрения в зараженные устройства, позволяют ему использовать законные каналы обновления прошивки. В результате угроза может сохраняться в системе при перезагрузке и даже в процессе официального обновления прошивки.

WatchGuard опубликовала свой собственный бюллетень , в котором говорится, что примерно 1% его активных устройств брандмауэра могут быть затронуты угрозой. Все учетные записи в взломанных системах следует считать скомпрометированными, а затронутые организации должны предпринять необходимые шаги для отключения интерфейса управления сетевых устройств от Интернета.