Cyclops Blink Malware

Več agencij za kibernetsko varnost iz ZDA in Združenega kraljestva je objavilo novo skupno varnostno svetovanje, v katerem so podrobno opisane ugotovitve o grožnji z zlonamerno programsko opremo, ki se spremlja kot Cyclops Blink. Po poročilu naj bi bila zlonamerna programska oprema povezana s skupino kibernetskega vohunjenja, ki jo podpira Rusija, znano kot Sandworm . Isti skupini hekerjev so sledili tudi kot Voodoo Bear, BlackEnergy in TeleBots, po ocenah pa je aktivna že skoraj 20 let.

Zdi se, da je Cyclops Blink naslednik prejšnje zlonamerne programske opreme Sandworm, znane kot VPNFilter , ki je bila javnosti izpostavljena že leta 2018. Novo grozeče orodje je zasnovano tako, da ustvari botnet ogroženih WatchGuard Firebox in podobnih omrežnih naprav. Grožnja se razširja neselektivno in na široko razširjen način.

Nevarne funkcije

Ko je Cyclops Blink enkrat vzpostavljen na ciljnih napravah, hekerjem Sandworm omogoča dostop do ogroženih omrežij. Invazivne značilnosti grožnje se širijo prek posebej oblikovanih modulov. Nekatere najbolj opazne škodljive funkcije zlonamerne programske opreme vključujejo možnost pridobivanja dodatnih datotek, izločanja izbranih datotek, zbiranja in prenosa informacij o napravi ter prejemanja posodobitev iz delovanja strežnika za upravljanje in nadzor (C2).

Tehnike, ki jih Cyclops Blink uporablja za vgradnjo v okužene naprave, mu omogočajo izkoriščanje zakonitih kanalov za posodobitev vdelane programske opreme. Posledično lahko grožnja vztraja v sistemu z vnovičnimi zagoni in celo med uradnim postopkom posodobitve vdelane programske opreme.

WatchGuard je objavil lastno priporočilo , v katerem navaja, da lahko grožnja vpliva na približno 1 % njegovih aktivnih naprav požarnega zidu. Domnevati je treba, da so vsi računi v vdrtih sistemih ogroženi, prizadete organizacije pa bi morale izvesti potrebne korake za odklop vmesnika za upravljanje omrežnih naprav iz interneta.