Już kilka razy wspominaliśmy na łamach naszego blogu o rosyjskim botnecie Cyclops Blink. Pisaliśmy wówczas o sprzętach firm WatchGuard oraz ASUS, które zostały zaatakowane właśnie przez to złośliwe oprogramowanie. Do walki “cały na biało” ruszył rząd USA z planem zablokowania zagrożenia.
Czym jest Cyclops Blink
Cyclops Blink, który prawdopodobnie pojawił się już w czerwcu 2019 r. Atakował głównie urządzenia zapory ogniowej WatchGuard i routery ASUS. Grupa Sandworm wykorzystała lukę w zabezpieczeniach oprogramowania układowego Firebox jako początkowy wektor dostępu. Dalsza analiza przeprowadzona przez firmę Trend Micro zajmującą się cyberbezpieczeństwem w zeszłym miesiącu zasugerowała możliwość, że botnet jest próbą “zbudowania infrastruktury do dalszych ataków na cele o wysokiej wartości”.
“Te urządzenia sieciowe są często zlokalizowane na brzegu sieci komputerowej ofiary, zapewniając w ten sposób Sandworm potencjalną zdolność do prowadzenia szkodliwych działań przeciwko wszystkim punktach końcowych” – dodał DoJ.
USA zakłócają botnet Cyclops Blink
FBI powiadomiło właścicieli zainfekowanych urządzeń w Stanach Zjednoczonych i za granicą za pośrednictwem partnerów organów ścigania jak usunąć oprogramowanie Cyclops Blink. Ofiary, których danych kontaktowych nie znaleziono, poprzez ich dostawców. Dyrektor FBI Chris Wray powiedział, że botnet został zakłócony po ścisłej współpracy z Watchguard podczas analizy złośliwego oprogramowania oraz opracowywania modelu wykrywania i technik naprawczych systemów.
“Sandworm połączył je, aby wykorzystać ich moc obliczeniową w sposób, który zaciemniłby to, kto naprawdę zarządzał siecią. Pozwolił im uruchamiać złośliwe oprogramowanie lub organizować rozproszone ataki typu “odmowa usługi”. GRU wykorzystało już takie systemy do ataku na Ukrainę”.
WatchGuard udostępnił szczegółowe instrukcje, jak oczyścić urządzenia Firebox oraz zapobiegać infekcji w przyszłości.
WatchGuard odegrał ważną rolę w wyeliminowaniu zagrożenia stwarzanego przez Cyclops Blink. Dzięki szybkiemu wydaniu narzędzi do wykrywania i naprawy ochrony partnerów i klientów. Po ujawnieniu przez rząd złośliwego oprogramowania oraz poprzez współpracę z Departamentem Sprawiedliwości USA w jego wysiłkach na rzecz zakłócenia botnetu. Ścisła współpraca firmy ze społecznościami partnerów i klientów odegrała zasadniczą rolę w łagodzeniu tego wyrafinowanego zagrożenia. Sponsorowanego przez państwo, które dotknęło mniej niż 1% urządzeń WatchGuard. — Rzecznik WatchGuard
Wspierana przez Rosję grupa zagrożeń Sandworm
Sandworm (znany również jako Voodoo Bear, BlackEnergy i TeleBots), grupa stojąca za botnetem Cyclops Blink. Jest sponsorowaną przez Rosję grupą hakerską działającą od połowy 2000 roku.
Uważa się, że jego operatorami są rosyjscy hakerzy wojskowi należący do Jednostki 74455 Rosyjskiego Głównego Centrum Technologii Specjalnych GRU (GTST).
Sandworm to jednostka powiązana ze szkodliwym oprogramowaniem BlackEnergy stojącym za przerwami w dostawie prądu na Ukrainie w 2015 i 2016 r. Mają także na sumieniu ataki KillDisk wiper na ukraińskie banki oraz wysoce destrukcyjnym oprogramowaniem ransomware NotPetya. Wykorzystywanym do wyrządzania miliardowych szkód firmom na całym świecie od czerwca 2017 r.
“Sandworm jest główną rosyjską jednostką do cyberataków. Także najgroźniejszym aktorem z których najbardziej się martwiliśmy w świetle inwazji” – powiedział John Hultquist, wiceprezes Mandiant ds. Analizy wywiadowczej.
“Obawiamy się, że mogą zaatakować Ukrainę. Jak również, że mogą uderzyć w cele na Zachodzie w odwecie za presję wywieraną na Rosję”.