Американские правоохранители сообщили, что им удалось нарушить работу ботнета Cyclops Blink, который они связывают с российской хак-группой Sandworm (она же Telebots, BlackEnergy, Voodoo Bear). По данным властей, ботнет удалось обезвредить еще до того как он был использован в атаках.
Напомню, что впервые о Cyclops Blink заговорили в феврале 2022 года, когда правоохранители из США и Великобритании опубликовали совместный отчет с подробным описанием нового вредоноса. Они сообщали, что Cyclops Blink был использован еще в июне 2019 года, и в первую очередь атаковал брандмауэры WatchGuard Firebox, хотя имел возможности для атак на другие типы сетевого оборудования. Вскоре действительно стало известно о том, что малварь атакует и роутеры Asus.
В отчетах Cyclops Blink описывался как «профессионально разработанная» малварь, которая использует модульную структуру, позволяя хакерам закрепляться на устройствах и разворачивать на зараженных девайсах полезную нагрузку второго этапа. Предполагалось, что таким образом хакеры создают инфраструктуру для дальнейших атак на важные для них цели.
Как теперь заявляет Министерство юстиции США, еще в прошлом месяце «двухуровневая глобальная инфраструктура ботнета, состоящего из тысяч зараженных сетевых устройств», была разрушена при активном содействии разработчиков Watchguard.
Правоохранители утверждают, что уничтожили малварь на уязвимых устройствах WatchGuard, которые группировка Sandworm использовала для управления своим ботнетом. Хотя в результате операции не были «очищены» тысячи других зараженных девайсов по всему миру, Министерство юстиции заверило, что после отключения C&C-механизма эти боты уже неподконтрольны Sandworm.
Правоохранители говорят, что были вынуждены вмешаться, так как после февральских рекомендаций властей по устранению проблем количество устройств в ботнете Cyclops Blink сократилось всего на 39%. В ответ на это власти санкционировали тайную операцию по удалению малвари, для проведения которой был получен федеральный ордер. В итоге агенты ФБР получили удаленный доступ к зараженным девайсам WatchGuard и устранили проблему самостоятельно.
«Я должен предупредить, что любые устройства Firebox, которые ранее действовали как боты, могут по-прежнему оставаться уязвимыми в будущем, пока их владельцы не устранят проблемы. Таким образом, их владельцы в любом случае должны принять меры по обнаружению и исправлению уязвимостей как можно скорее», — добавляет глава ФБР Крис Рэй.
Инженеры WatchGuard уже подготовили инструкции о том, как очистить скомпрометированные устройства Firebox от заражения, восстановить их и обновить Fireware OS до последних версий.
Подводя итоги, Минюст сообщил, что операция в целом привела к успешному восстановлению тысяч скомпрометированных устройств, хотя большинство взломанных девайсов все же остались зараженными.
Стоит заметить, что это не первый раз, когда ФБР получает удаленный доступ к зараженным устройствам для устранения угроз, и многие специалисты по безопасности опасаются, что подобные действия могут нанести вред, если случайно нарушат какой-либо критически важный процесс. Защитники конфиденциальности также осудили действия властей, так как это могло привести к раскрытию информации частных лиц.