Malware Cyclops Blink lub Voodoo Bear łączone przez USA i UK z hakerami państwowymi z Rosji
Niedawno wykryte oprogramowanie malware Cyclops Blink lub Voodoo Bear łączone jest przez Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) oraz Federalne Biuro Śledcze (FBI) z hakerami państwowymi z Rosji, którzy znani są jako grupa Sandworm.
„Złośliwe oprogramowanie o nazwie Cyclops Blink wydaje się zastępować złośliwe oprogramowanie VPNFilter, które zostało ujawnione w 2018 r., a jego wdrożenie może umożliwić Sandwormowi zdalny dostęp do sieci” – czytamy w oświadczeniu wydanym przez Narodowe Centrum Bezpieczeństwa Cybernetycznego.
Malware Cyclops Blink lub Voodoo Bear
Malware Cyclops Blink lub Voodoo Bear zostało wykryte na urządzeniach WatchGuard, ale prawdopodobnie Sandworm byłby w stanie skompilować złośliwe oprogramowanie dla innych architektur i oprogramowania układowego.
Oświadczenia w związku z tym złośliwym oprogramowaniem wydały takie agencje jak Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetyczne (NCSC), Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) oraz Federalne Biuro Śledcze (FBI)
WatchGuard opublikował własne oświadczenie, w którym czytamy, że Cyclops Blink mógł mieć wpływ na około 1 proc. wszystkich aktywnych urządzeń zapory sieciowej WatchGuard, które są używane głównie przez klientów biznesowych. Piszą też, że nie ma dowodów na eksfiltrację danych od WatchGuard lub jej klientów, a także o tym, iż własna sieć WatchGuard nie została naruszona ani naruszona.
Aktualizacje oprogramowania układowego (firmware) zapobiegają włamaniom
Według analiz przeprowadzonych wspólnie przez NCSC, FBI, CISA i NSA złośliwe oprogramowanie zawiera również moduły opracowane specjalnie do przesyłania/pobierania plików do i z serwera kontrolującego, gromadzenia i eksfiltrowania informacji o urządzeniach oraz aktualizowania złośliwego oprogramowania.
Złośliwe oprogramowanie wykorzystuje legalne kanały aktualizacji oprogramowania układowego zainfekowanych urządzeń w celu utrzymania dostępu do zaatakowanych systemów poprzez wstrzykiwanie złośliwego kodu i wdrażanie zmodyfikowanych plików z firmware.
Wymienione wcześniej agencje uważają, że za malware Cyclops Blink lub Voodoo Bear stoją członkowie wojskowej grupy hakerów powiązanej z Jednostką 74455 Głównego Centrum Specjalnych Technologii (GTsST) rosyjskiego GRU. Wcześniej wiązano ją ze szkodliwym oprogramowaniem BlackEnergy, które kryło się za ukraińskimi przerwami w dostawie prądu w latach 2015 i 2016, a także z atakami typu wiper KillDisk wymierzonymi w ukraińskie banki. Sandworm stoi również za oprogramowaniem ransomware NotPetya, które spowodowało szkody o wartości szacowanej na miliardy w firmach na całym świecie.
Rozwiązaniem problemu jest niestandardowa aktualizacja firmware
WatchGuard przy współpracy z FBI, CISA i NCSC opracował i dostarczył narzędzia oraz wskazówki umożliwiające wykrywanie i usuwanie malware Cyclops Blink z urządzeń WatchGuard poprzez niestandardowy proces aktualizacji.
Źródło: CISA, NCSC, WatchGuard
Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.