Malware Cyclops Blink

Agjenci të shumta të sigurisë kibernetike nga SHBA dhe Britania e Madhe lëshuan një këshillë të re të përbashkët të sigurisë, duke detajuar gjetjet e tyre për një kërcënim malware të gjurmuar si Cyclops Blink. Sipas raportit, malware besohet të jetë i lidhur me një grup spiunazhi kibernetik të mbështetur nga Rusia, i njohur si Sandworm . I njëjti grup hakerash gjithashtu është gjurmuar si Voodoo Bear, BlackEnergy dhe TeleBots dhe vlerësohet të ketë qenë aktiv për afro 20 vjet.

Cyclops Blink duket të jetë pasardhësi i malware i mëparshëm Sandworm i njohur si VPNFilter , i cili u ekspozua në publik në vitin 2018. Mjeti i ri kërcënues është krijuar për të krijuar një botnet të WatchGuard Firebox të komprometuar dhe pajisje të ngjashme të rrjetit. Kërcënimi po shpërndahet pa dallim dhe në një mënyrë të përhapur.

Funksionet kërcënuese

Pasi të vendoset në pajisjet e synuara, Cyclops Blink ofron akses në prapavijë në rrjetet e komprometuara për hakerat e Sandworm. Karakteristikat invazive të kërcënimit përhapen përmes moduleve të dizajnuara posaçërisht. Disa nga funksionet më të dukshme të dëmshme të malware përfshijnë aftësinë për të marrë skedarë shtesë, për të ekfiluar skedarë të zgjedhur, për të mbledhur dhe transmetuar informacione të pajisjes dhe për të marrë përditësime nga operacionet e serverit Command-and-Control (C2).

Teknikat e përdorura nga Cyclops Blink për t'u futur në pajisjet e infektuara e lejojnë atë të shfrytëzojë kanalet e ligjshme të përditësimit të firmuerit. Si rezultat, kërcënimi mund të vazhdojë në sistem përmes rindezjeve dhe madje gjatë gjithë procesit zyrtar të përditësimit të firmuerit.

WatchGuard publikoi këshillimin e vet ku thotë se afërsisht 1% e pajisjeve të tij aktive të murit të zjarrit mund të ndikohen nga kërcënimi. Të gjitha llogaritë në sistemet e shkelura duhet të supozohen se janë komprometuar dhe organizatat e prekura duhet të zbatojnë hapat e nevojshëm për të shkëputur ndërfaqen e menaxhimit të pajisjeve të rrjetit nga Interneti.