Rus Genelkurmay Ana İstihbarat Müdürlüğü’nün Rus (GRU) Özel Teknolojiler Ana Merkezi’ne (GTsST) bağlı kötü şöhretli Sandworm, namı diğer Voodoo Bear, bugün İngiltere Ulusal Siber Güvenlik tarafından yayınlanan bir tavsiyeye göre kötü amaçlı yazılım altyapısını değiştirdi Center (NCSC), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve FBI.
Sandworm’un yıkıcı saldırıların geniş bir özgeçmişi var: 2015’te Ukrayna’nın güç sistemlerine yönelik BlackEnergy saldırısı, 2016’da Ukrayna’ya yönelik Industroyer saldırısı, 2017’de NotPetya yıkıcı veri silme saldırıları, Gürcistan ulusuna yönelik dağıtım hizmeti reddi saldırıları 2019 ve 2018’de Kış Olimpiyatları ve Paralimpik Oyunlara karşı yıkıcı saldırılar.
Ajanslara göre, sözde Cyclops Blink modüler kötü amaçlı yazılım çerçevesi Sandworm tarafından en az Haziran 2019’dan beri faaliyette. Cyclops Blink, genellikle kurbanın ağına sızıldıktan sonra kötü amaçlı bir ürün yazılımı güncellemesi yoluyla enjekte edilir. Kötü amaçlı yazılım, Mayıs 2018’de Adalet Bakanlığı tarafından bozulan grubun VPNFilter altyapısının yerini alıyor.
Danışman, “Oyuncu şu ana kadar öncelikle Cyclops Blink’i WatchGuard cihazlarına dağıttı, ancak Sandworm’un kötü amaçlı yazılımı diğer mimariler ve bellenim için derleme yeteneğine sahip olması muhtemeldir” diyor ve yalnızca uzaktan açmak için sıfırlanan Watchguard cihazlarının kaydedildiğine dikkat çekiyor. yönetim arayüzlerine kötü amaçlı yazılım bulaşabilir.
bu tam raporNCSC tarafından hazırlanan , Cyclops Blink kötü amaçlı yazılımı ve tehlike göstergeleri hakkında ayrıntılar sağlar.