Cyclops Blink Malware

ABD ve İngiltere'den birden fazla siber güvenlik kurumu, Cyclops Blink olarak izlenen bir kötü amaçlı yazılım tehdidi bulgularını detaylandıran yeni bir ortak güvenlik tavsiyesi yayınladı. Rapora göre, kötü amaçlı yazılımın Sandworm olarak bilinen Rus destekli bir siber casusluk grubuyla ilişkili olduğuna inanılıyor. Aynı hacker grubu Voodoo Bear, BlackEnergy ve TeleBots olarak da izlendi ve yaklaşık 20 yıldır aktif oldukları tahmin ediliyor.

Cyclops Blink, VPNFilter olarak bilinen ve 2018'de halka açılan önceki Sandworm kötü amaçlı yazılımının halefi gibi görünüyor. Yeni tehdit aracı, güvenliği ihlal edilmiş WatchGuard Firebox ve benzer ağ cihazlarından oluşan bir botnet oluşturmak için tasarlandı. Tehdit ayrım gözetmeksizin ve yaygın bir şekilde yayılmaktadır.

Tehdit Eden İşlevler

Cyclops Blink, hedeflenen cihazlarda kurulduktan sonra, Sandworm korsanları için güvenliği ihlal edilmiş ağlara arka kapı erişimi sağlar. Tehdidin istilacı özellikleri, özel olarak tasarlanmış modüller aracılığıyla yayılır. Kötü amaçlı yazılımın en dikkate değer zararlı işlevlerinden bazıları, ek dosyalar getirme, seçilen dosyaları sızdırma, cihaz bilgilerini toplama ve iletme ve Komuta ve Kontrol (C2) sunucusunun işlemlerinden güncellemeler alma yeteneğini içerir.

Cyclops Blink'in kendisini virüslü cihazlara gömmek için kullandığı teknikler, meşru ürün yazılımı güncelleme kanallarından yararlanmasına izin veriyor. Sonuç olarak, tehdit, yeniden başlatmalar yoluyla ve hatta resmi ürün yazılımı güncelleme süreci boyunca sistemde devam edebilir.

WatchGuard, aktif güvenlik duvarı cihazlarının yaklaşık %1'inin tehditten etkilenebileceğini belirten kendi tavsiyesini yayınladı. İhlal edilen sistemlerdeki tüm hesapların güvenliğinin ihlal edildiği varsayılmalı ve etkilenen kuruluşlar, ağ cihazlarının yönetim arayüzünü İnternet'ten ayırmak için gerekli adımları uygulamalıdır.