Правительства США и Великобритании опубликовали совместный отчет с подробным описанием нового вредоноса Cyclops Blink. Малварь, которая активна с 2019 года и использовалась для взлома домашних и офисных сетевых устройств, связывают с российской хак-группой Sandworm (она же Telebots, BlackEnergy, Voodoo Bear).

Sandworm

В конце 2020 года Ми­нис­терс­тво юсти­ции США предъ­яви­ло обви­нения шес­ти рос­сий­ским гражданам, которые якобы вхо­дят в груп­пиров­ку Sandworm.

Аме­рикан­ские влас­ти утверждают, что все обви­няемые слу­жат в под­разде­лении 74455 Глав­ного раз­ведыва­тель­ного управле­ния Рос­сии (Unit 74455) и по при­казу пра­витель­ства Рос­сии про­води­ли кибера­таки с целью дес­табили­зиро­вать дру­гие стра­ны, вме­шать­ся в их внут­реннюю полити­ку, при­чинить ущерб и денеж­ные потери.

Минюст США свя­зыва­ет груп­пиров­ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.

Совместный отчет о новой малвари опубликовали Национальный центр кибербезопасности Великобритании (NCSC), Федеральное бюро расследований США (ФБР), Агентство инфраструктуры и кибербезопасности США (CISA) и Агентство национальной безопасности США (АНБ).

Документ гласит, что впервые Cyclops Blink был использован в июне 2019 года, и в первую очередь атаковал брандмауэры WatchGuard Firebox, хотя имел возможности для атак на другие типы сетевого оборудования. Cyclops Blink описывается как «профессионально разработанная» малварь, которая использует модульную структуру, позволяя хакерам разворачивать на зараженных девайсах полезную нагрузку второго этапа.

При этом подробности того, как именно малварь внедряется в зараженные системы и каковы возможности пейлоадов второго этапа атаки, в отчет не вошли. Если же полагаться на информацию от разработчиков WatchGuard, по их мнению, злоумышленники использовали уязвимость в старой версии прошивки Firebox, которую компания устранила в мае 2021 года.

Поскольку малварь внедряется глубоко в прошивку взломанного устройств, простой перезапуск или сброс к заводским настройкам не помогает избавиться от заражения. Для обнаружения и очистки устройств разработчики WatchGuard выпустила специальные инструменты.

По словам Нейта Уорфилда, технического директора ИБ-компании Prevailion, в настоящее время в интернете можно обнаружить более 25 000 брэндмауэров WatchGuard Firebox. При этом в WatchGuard оценивают количество зараженных систем примерно в 1%, то есть размер ботнета пока составляет около 250 устройств.

Официальные лица США и Великобритании заявляют, что Sandworm разработала Cyclops Blink в качестве замены своего предыдущего ботнета, созданного с использованием VPNFilter, который ФБР скомпрометировало весной 2018 года.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии