Malware Cyclops Blink lub Voodoo Bear łączone przez USA i UK z hakerami państwowymi z Rosji

Niedawno wykryte oprogramowanie malware Cyclops Blink lub Voodoo Bear łączone jest przez Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) oraz Federalne Biuro Śledcze (FBI) z hakerami państwowymi z Rosji, którzy znani są jako grupa Sandworm.

„Złośliwe oprogramowanie o nazwie Cyclops Blink wydaje się zastępować złośliwe oprogramowanie VPNFilter, które zostało ujawnione w 2018 r., a jego wdrożenie może umożliwić Sandwormowi zdalny dostęp do sieci” – czytamy w oświadczeniu wydanym przez Narodowe Centrum Bezpieczeństwa Cybernetycznego.

Malware Cyclops Blink lub Voodoo Bear

Malware Cyclops Blink lub Voodoo Bear zostało wykryte na urządzeniach WatchGuard, ale prawdopodobnie Sandworm byłby w stanie skompilować złośliwe oprogramowanie dla innych architektur i oprogramowania układowego.

Oświadczenia w związku z tym złośliwym oprogramowaniem wydały takie agencje jak Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetyczne (NCSC), Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) oraz Federalne Biuro Śledcze (FBI)

malware-cyclops-blink-voodoo-bear-rosja-zarzadzanie-tor
Zarządzanie zainfekowanymi urządzeniami

WatchGuard opublikował własne oświadczenie, w którym czytamy, że Cyclops Blink mógł mieć wpływ na około 1 proc. wszystkich aktywnych urządzeń zapory sieciowej WatchGuard, które są używane głównie przez klientów biznesowych. Piszą też, że nie ma dowodów na eksfiltrację danych od WatchGuard lub jej klientów, a także o tym, iż własna sieć WatchGuard nie została naruszona ani naruszona.

Aktualizacje oprogramowania układowego (firmware) zapobiegają włamaniom

Według analiz przeprowadzonych wspólnie przez NCSC, FBI, CISA i NSA złośliwe oprogramowanie zawiera również moduły opracowane specjalnie do przesyłania/pobierania plików do i z serwera kontrolującego, gromadzenia i eksfiltrowania informacji o urządzeniach oraz aktualizowania złośliwego oprogramowania.

Złośliwe oprogramowanie wykorzystuje legalne kanały aktualizacji oprogramowania układowego zainfekowanych urządzeń w celu utrzymania dostępu do zaatakowanych systemów poprzez wstrzykiwanie złośliwego kodu i wdrażanie zmodyfikowanych plików z firmware.

Wymienione wcześniej agencje uważają, że za malware Cyclops Blink lub Voodoo Bear stoją członkowie wojskowej grupy hakerów powiązanej z Jednostką 74455 Głównego Centrum Specjalnych Technologii (GTsST) rosyjskiego GRU. Wcześniej wiązano ją ze szkodliwym oprogramowaniem BlackEnergy, które kryło się za ukraińskimi przerwami w dostawie prądu w latach 2015 i 2016, a także z atakami typu wiper KillDisk wymierzonymi w ukraińskie banki. Sandworm stoi również za oprogramowaniem ransomware NotPetya, które spowodowało szkody o wartości szacowanej na miliardy w firmach na całym świecie.

Rozwiązaniem problemu jest niestandardowa aktualizacja firmware

WatchGuard przy współpracy z FBI, CISA i NCSC opracował i dostarczył narzędzia oraz wskazówki umożliwiające wykrywanie i usuwanie malware Cyclops Blink z urządzeń WatchGuard poprzez niestandardowy proces aktualizacji.

Źródło: CISA, NCSC, WatchGuard

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x