FBI büyük bir botnet ağını çökerttiğini duyurdu vaftiz edilmiş Tepegöz Göz Kırpar.
ABD makamları, botnet operatörleri tarafından kullanılan birkaç komuta ve kontrol sunucusu tespit etti ve saldırganlar tarafından ele geçirilen Watchguard güvenlik duvarlarını komuta sunucularına dönüştürmek için dezenfekte etmeyi başardı.
Mart 2022’de gerçekleştirilen operasyon, şebekenin çalışmaz hale getirilmesini mümkün kıldı.
Cyclops Blink, Şubat ayından bu yana yetkililerin gözü önünde
Bu botnet’in arkasındaki kötü amaçlı yazılım, Şubat 2022’de zaten analiz edilmişti. İngiliz siber güvenlik kurumu NCSC tarafından hazırlanan bir rapor. Kuruluş daha sonra bu kötü amaçlı yazılımın en az Haziran 2019’dan beri aktif olduğunu ve operatörlerinin onu Asus tarafından pazarlanan makinelere ve Watchguard Firebox cihazlarına saldırmak için kullandığını tespit ettiğini açıkladı. Watchguard ayrıca Şubat ayında kullanıcılara, güvenliği ihlal edilmiş makineleri dezenfekte etmek için algılama ve düzeltme araçlarına yönlendiren bir uyarı yayınladı.
Watchguard’a göreCyclops Blink, “internetten sınırsız yönetim erişimine izin verecek şekilde yapılandırılmış” cihazlara saldırdı. Cyclops Blink, kontrolü ele geçirmek ve cihazın yeniden başlatılmasına veya sıfırlanmasına rağmen mevcut kalmasını sağlamak için hedeflenen cihazların donanım yazılımı güncelleme yöntemlerindeki kusurlardan yararlandı. Ancak saldırganların nihai hedefi belirlenemedi. Kötü amaçlı yazılım bu nedenle bir aydan daha uzun bir süre önce tespit edilmişti, ancak bu Amerikan makamları için yeterli değildi. Temizleme operasyonunun arkasındaki FBI ajanının açıkladığı gibi, yetkililer, kötü amaçlı yazılım bulaşmış makinelerin sayısının, bu kötü amaçlı yazılımla ilgili ilk uyarıların yayınlanmasından bir aydan kısa bir süre sonra yalnızca %39 oranında düştüğünü tespit etti.
Bu nedenle FBI, temizleme işlemini başlatmayı seçti: Ajanlar, kötü amaçlı yazılım bulaşmış makinelerden birini analiz ederek, 13’ü Amerika Birleşik Devletleri’nde ve 13’ü diğer ülkelerde bulunan toplam 26 komut sunucusunu tanımlamayı başardılar. ülkeler. Bu nedenle yetkililer, ABD merkezli 13 komut sunucusunun IP adreslerine erişmelerine ve kötü amaçlı yazılımın varlığını doğrulamak, cihazı dezenfekte etmek ve engellemek için onlara bir dizi komut gönderme olasılığına izin veren bir yargıçtan yetki aldı. olası yeniden kötü amaçlı yazılım bulaşmasını önlemek için web tabanlı yönetim araçlarına erişim. Bu nedenle FBI’ın stratejisi, bu kötü amaçlı yazılım tarafından ele geçirilen tüm makineleri etkilemeden doğrudan komut sunucularını hedef aldı. Cyclops Blink tarafından ele geçirilen toplam makine sayısının ABD yetkilileri tarafından “birkaç bin” olduğu tahmin ediliyor.
Bir aile benzerliği
Amerikan makamlarına göre Cyclops Blink’in babalığı şüphe götürmez: Kötü amaçlı yazılım, Rus istihbarat servisiyle bağlantılı ve birkaç Fransız’ı hedef alan bir kampanya da dahil olmak üzere çok sayıda siber saldırı gerçekleştirdiği bilinen bir grup siber saldırgan olan Sandworm grubunun eseridir. Grup ayrıca 2017’deki NotPetya siber saldırısının ve Ukrayna ağlarını hedef alan çeşitli bilgisayar saldırılarının arkasında olmakla suçlanıyor.
Ancak Cyclops Blink’i Sandworm’a bağlayan şey, her şeyden önce bu yeni kötü amaçlı yazılım ile daha önceki saldırılarda Sandworm ve diğer Rus siber saldırgan grupları tarafından kullanılan VpnFilter olarak bilinen başka bir eski kötü amaçlı yazılım parçası arasındaki tasarım benzerliğidir. VpnFilter tabanlı bir botnet, 2018 yılında, komutlarını iletmek üzere botnet’in komut sunucularından gelen trafiği yönlendirmek için kullanılan alan adının ele geçirilmesi yoluyla ABD yetkilileri tarafından yayından kaldırılmıştı. Bu kötü amaçlı yazılım, özellikle Ukrayna’da bir su filtreleme tesisine yönelik saldırılar sırasında kullanılmıştı. FBI ve İngiliz NCSC için, Cyclops Blink, VpnFilter’ın kaldırılmasından birkaç ay sonra ortaya çıkan halefiydi.