Cyclops Blink Malware

Flera cybersäkerhetsbyråer från USA och Storbritannien släppte en ny gemensam säkerhetsrådgivning som beskriver sina upptäckter av ett hot mot skadlig programvara som spåras som Cyclops Blink. Enligt rapporten tros skadlig programvara vara associerad med en ryskstödd cyberspionagegrupp känd som Sandworm. Samma grupp hackare har också spårats som Voodoo Bear, BlackEnergy och TeleBots, och beräknas ha varit aktiva i nära 20 år.

Cyclops Blink verkar vara efterföljaren till den tidigare Sandworm malware känd som VPNFilter, som exponerades för allmänheten redan 2018. Det nya hotfulla verktyget är designat för att skapa ett botnät av komprometterade WatchGuard Firebox och liknande nätverksenheter. Hotet sprids urskillningslöst och på ett utbrett sätt.

Hotande funktioner

När den väl har etablerats på riktade enheter, ger Cyclops Blink bakdörrsåtkomst till de komprometterade nätverken för Sandworm-hackarna. Hotets invasiva egenskaper sprids genom speciellt utformade moduler. Några av de mest anmärkningsvärda skadliga funktionerna hos skadlig programvara inkluderar möjligheten att hämta ytterligare filer, exfiltrerade valda filer, samla in och överföra enhetsinformation och få uppdateringar från driften av Command-and-Control-servern (C2).

Teknikerna som används av Cyclops Blink för att bädda in sig i de infekterade enheterna gör att den kan utnyttja legitima kanaler för uppdatering av firmware. Som ett resultat kan hotet kvarstå på systemet genom omstarter och till och med under hela den officiella firmwareuppdateringsprocessen.

WatchGuard publicerade sin egen rådgivning där den säger att cirka 1 % av dess aktiva brandväggsenheter kan påverkas av hotet. Alla konton på de intrångade systemen bör antas vara utsatta för intrång, och de berörda organisationerna bör implementera de nödvändiga stegen för att koppla bort hanteringsgränssnittet för nätverksenheterna från Internet.