Cyclops Blink มัลแวร์

หน่วยงานความปลอดภัยทางไซเบอร์หลายแห่งจากสหรัฐอเมริกาและสหราชอาณาจักรได้ออกคำแนะนำด้านความปลอดภัยร่วมฉบับใหม่ซึ่งมีรายละเอียดการค้นพบภัยคุกคามมัลแวร์ที่ติดตามในชื่อ Cyclops Blink ตามรายงาน มัลแวร์ดังกล่าวเชื่อว่ามีความเกี่ยวข้องกับกลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัสเซีย ซึ่งรู้จักกันในชื่อ Sandworm แฮ็กเกอร์กลุ่มเดียวกันนี้ถูกติดตามในชื่อ Voodoo Bear, BlackEnergy และ TeleBots และคาดว่าจะมีการใช้งานมาเกือบ 20 ปีแล้ว

Cyclops Blink ดูเหมือนจะเป็นผู้สืบทอดของมัลแวร์ Sandworm ก่อนหน้านี้ที่รู้จักกันในชื่อ VPNFilter ซึ่งเปิดเผยต่อสาธารณะในปี 2018 เครื่องมือคุกคามใหม่นี้ออกแบบมาเพื่อสร้างบ็อตเน็ตของ WatchGuard Firebox ที่ถูกบุกรุกและอุปกรณ์เครือข่ายที่คล้ายกัน ภัยคุกคามกำลังถูกเผยแพร่อย่างไม่เลือกปฏิบัติและเป็นวงกว้าง

ฟังก์ชั่นการคุกคาม

เมื่อสร้างบนอุปกรณ์เป้าหมายแล้ว Cyclops Blink ให้การเข้าถึงแบ็คดอร์ไปยังเครือข่ายที่ถูกบุกรุกสำหรับแฮกเกอร์ Sandworm คุณลักษณะการบุกรุกของภัยคุกคามจะแพร่กระจายผ่านโมดูลที่ออกแบบมาโดยเฉพาะ ฟังก์ชันที่เป็นอันตรายที่เด่นที่สุดบางอย่างของมัลแวร์ ได้แก่ ความสามารถในการดึงไฟล์เพิ่มเติม ไฟล์ที่ถูกกรองออกไป รวบรวมและส่งข้อมูลอุปกรณ์ และรับการอัปเดตจากการทำงานของเซิร์ฟเวอร์ Command-and-Control (C2)

เทคนิคที่ใช้โดย Cyclops Blink เพื่อฝังตัวเองลงในอุปกรณ์ที่ติดไวรัสทำให้สามารถใช้ประโยชน์จากช่องทางการอัปเดตเฟิร์มแวร์ที่ถูกต้องได้ เป็นผลให้ภัยคุกคามสามารถคงอยู่ในระบบผ่านการรีบูตและแม้กระทั่งตลอดกระบวนการอัพเดตเฟิร์มแวร์อย่างเป็นทางการ

WatchGuard เผยแพร่ คำแนะนำของตนเอง โดยระบุว่าประมาณ 1% ของอุปกรณ์ไฟร์วอลล์ที่ใช้งานอยู่อาจได้รับผลกระทบจากภัยคุกคาม บัญชีทั้งหมดบนระบบที่ถูกละเมิดควรได้รับการสันนิษฐานว่าถูกบุกรุก และองค์กรที่ได้รับผลกระทบควรใช้ขั้นตอนที่จำเป็นเพื่อยกเลิกการเชื่อมต่ออินเทอร์เฟซการจัดการของอุปกรณ์เครือข่ายจากอินเทอร์เน็ต