Правительства США и Великобритании опубликовали совместный отчет с подробным описанием нового вредоноса Cyclops Blink. Малварь, которая активна с 2019 года и использовалась для взлома домашних и офисных сетевых устройств, связывают с российской хак-группой Sandworm (она же Telebots, BlackEnergy, Voodoo Bear).
Sandworm
В конце 2020 года Министерство юстиции США предъявило обвинения шести российским гражданам, которые якобы входят в группировку Sandworm.
Американские власти утверждают, что все обвиняемые служат в подразделении 74455 Главного разведывательного управления России (Unit 74455) и по приказу правительства России проводили кибератаки с целью дестабилизировать другие страны, вмешаться в их внутреннюю политику, причинить ущерб и денежные потери.
Минюст США связывает группировку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.
Совместный отчет о новой малвари опубликовали Национальный центр кибербезопасности Великобритании (NCSC), Федеральное бюро расследований США (ФБР), Агентство инфраструктуры и кибербезопасности США (CISA) и Агентство национальной безопасности США (АНБ).
Документ гласит, что впервые Cyclops Blink был использован в июне 2019 года, и в первую очередь атаковал брандмауэры WatchGuard Firebox, хотя имел возможности для атак на другие типы сетевого оборудования. Cyclops Blink описывается как «профессионально разработанная» малварь, которая использует модульную структуру, позволяя хакерам разворачивать на зараженных девайсах полезную нагрузку второго этапа.
При этом подробности того, как именно малварь внедряется в зараженные системы и каковы возможности пейлоадов второго этапа атаки, в отчет не вошли. Если же полагаться на информацию от разработчиков WatchGuard, по их мнению, злоумышленники использовали уязвимость в старой версии прошивки Firebox, которую компания устранила в мае 2021 года.
Поскольку малварь внедряется глубоко в прошивку взломанного устройств, простой перезапуск или сброс к заводским настройкам не помогает избавиться от заражения. Для обнаружения и очистки устройств разработчики WatchGuard выпустила специальные инструменты.
По словам Нейта Уорфилда, технического директора ИБ-компании Prevailion, в настоящее время в интернете можно обнаружить более 25 000 брэндмауэров WatchGuard Firebox. При этом в WatchGuard оценивают количество зараженных систем примерно в 1%, то есть размер ботнета пока составляет около 250 устройств.
Официальные лица США и Великобритании заявляют, что Sandworm разработала Cyclops Blink в качестве замены своего предыдущего ботнета, созданного с использованием VPNFilter, который ФБР скомпрометировало весной 2018 года.