Birleşik Krallık ve ABD’deki istihbarat teşkilatları, adı verilen yeni bir botnet kötü amaçlı yazılımının ayrıntılarını açıkladı. Tepegöz Göz kırpıyor bu, Rus destekli Sandworm hack grubuna atfedildi ve 2019’a kadar uzanan saldırılarda kullanıldı.
Ajanslar, “Cyclops Blink, başta küçük ofis/ev ofis (SOHO) yönlendiricileri olmak üzere ağ cihazlarını ve ağa bağlı depolama (NAS) cihazlarını kullanan, 2018’de açığa çıkan VPNFilter kötü amaçlı yazılımının yerini alan bir çerçeve gibi görünüyor” dedi. dedim. “VPNFilter ile ortak olarak, Cyclops Blink dağıtımı da gelişigüzel ve yaygın görünüyor.”
bu ortak hükümet danışmanlığı Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve ABD’deki Federal Soruşturma Bürosu’ndan (FBI) gelmektedir.
kum solucanıdiğer adıyla Voodoo Bear, bir son derece gelişmiş düşman En az 2008’den beri aktif olduğu bilinen Rusya dışında faaliyet gösteriyor. Bilgisayar korsanlığı grubu, özellikle Ukrayna’daki varlıkları hedef almaya odaklandı ve 2015’in sonlarında yaygın elektrik kesintilerine neden olan Ukrayna enerji sektörü saldırılarının arkasında olduğu iddia ediliyor.
Tehdit aktörü, Ekim 2020resmi olarak Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü (GRU) Ana Özel Teknolojiler Merkezi (GTsST) askeri birimi 74455 ile bağlantılıydı.
VPNFilter ilk olarak Mayıs 2018’de Cisco Talos tarafından belgelendi ve onu Sandworm’unkiyle örtüşen “gelişmiş modüler kötü amaçlı yazılım sistemi” olarak tanımladı. SiyahEnerji kötü amaçlı yazılım ve istihbarat toplama ve yıkıcı siber saldırı operasyonlarını destekleyecek yeteneklere sahiptir.
IoT botnet kötü amaçlı yazılımının en az 54 ülkede 500.000’den fazla yönlendiriciyi ele geçirdiği ve Linksys, MikroTik, NETGEAR ve TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL ve ZTE’den cihazları hedef aldığı tespit edildi.
Aynı ay, ABD hükümeti saldırılar için kullanılan önemli bir internet etki alanının ele geçirildiğini ve kaldırıldığını duyurdu ve virüs bulaşmış olabilecek SOHO ve NAS cihazlarının sahiplerini kötü amaçlı yazılımı geçici olarak bozmak için cihazlarını yeniden başlatmaya çağırdı.
Ocak 2021 itibariyle, analiz Trend Micro, VPNFilter’ın çökmesinden binlerce yıl sonra hala ağlarda kalan “artık enfeksiyonların” olduğunu belirledi, Sandworm aktörü aynı anda kamuya yapılan açıklamalara yanıt olarak kötü amaçlı yazılımı yeniden düzenlemeyi seçmiş olsa bile.
Ajanslar, kötü amaçlı yazılımın diğer mimarilere ve bellenime saldırmak için yeniden kullanılabileceğini söylese de, ikame olarak adlandırılan Cyclops Blink’in en az Haziran 2019’dan beri esas olarak WatchGuard güvenlik duvarı cihazlarına odaklandığına inanılıyor.
Daha da önemlisi, botnet kötü amaçlı yazılımı sahte bir güncelleme olarak dağıtılır ve Tor anonimlik ağı üzerinden kolaylaştırılan komut ve kontrol (C2) iletişimleri ile yeniden başlatmalar ve ürün yazılımı yükseltmelerinden kurtulabilir.
Araştırmacılar, “Kötü amaçlı yazılımın kendisi, cihaz bilgilerini bir sunucuya geri göndermek ve dosyaların indirilmesini ve yürütülmesini sağlamak için temel temel işlevselliğe sahip karmaşık ve modülerdir” dedi. “Kötü amaçlı yazılım çalışırken yeni modüller ekleme işlevi de var, bu da Sandworm’un gerektiği gibi ek yetenekler uygulamasını sağlıyor.”
WatchGuard, bir bağımsız bülten, ilk erişim vektörü olarak Firebox belleniminde önceden tanımlanmış bir güvenlik açığından yararlanan, devlet destekli bir botnet olarak adlandırdı. Eksiklik sonunda Mayıs 2021 itibariyle giderildi.
Şirket, “Mevcut tahminlere dayanarak, Cyclops Blink aktif WatchGuard güvenlik duvarı cihazlarının yaklaşık %1’ini etkilemiş olabilir” dedi. “Yalnızca internete açık yönetime sahip olacak şekilde yapılandırılmış cihazlar Cyclops Blink’e karşı savunmasızdır.”
Seattle merkezli firma, müşterilere aynı zamanda aşağıda belirtilen adımları hemen takip etmelerini tavsiye ediyor. 4 Adımlı Cyclops Yanıp Sönen Teşhis ve İyileştirme Planı Botnet’ten gelen olası kötü amaçlı etkinliklerin oluşturduğu tehdidi teşhis etmek ve ortadan kaldırmak için.
Bulgular, Rusya’nın Ukrayna’yı işgal etmek için resmen tam ölçekli bir askeri operasyon başlatması ve BT altyapısının bir dizi veri sileceği ve dağıtılmış hizmet reddi (DDoS) saldırıları tarafından sakatlanmasıyla geldi.