Las agencias de inteligencia del Reino Unido y los EE. UU. revelaron detalles de un nuevo malware llamado botnet Parpadeo de cíclope eso se atribuyó al grupo de piratería Sandworm respaldado por Rusia y se implementó en ataques que datan de 2019.
«Cyclops Blink parece ser un marco de reemplazo para el malware VPNFilter expuesto en 2018, que explotaba dispositivos de red, principalmente enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) y dispositivos de almacenamiento conectado a la red (NAS)», dijeron las agencias. dijo. «Al igual que VPNFilter, la implementación de Cyclops Blink también parece indiscriminada y generalizada».
los asesoramiento conjunto del gobierno proviene del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) en los EE. UU.
gusano de arenatambién conocido como Voodoo Bear, es el nombre asignado a un adversario muy avanzado opera desde Rusia y se sabe que está activo desde al menos 2008. El grupo de piratería ha mostrado un enfoque particular en apuntar a entidades en Ucrania y se alega que está detrás de los ataques al sector energético ucraniano que causaron apagones generalizados a fines de 2015.
El actor de amenazas, en octubre 2020estaba vinculado formalmente a la unidad militar 74455 del Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal de Inteligencia (GRU) del Estado Mayor General de Rusia.
VPNFilter fue documentado por primera vez por Cisco Talos en mayo de 2018, describiéndolo como un «sistema de malware modular sofisticado» que comparte superposiciones con Sandworm’s BlackEnergy malware y cuenta con capacidades para respaldar la recopilación de inteligencia y las operaciones destructivas de ataques cibernéticos.
Se descubrió que el malware de botnet IoT comprometió más de 500 000 enrutadores en al menos 54 países, y se dirigió a dispositivos de Linksys, MikroTik, NETGEAR y TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL y ZTE.
Ese mismo mes, el gobierno de EE. UU. anunció la incautación y el desmantelamiento de un dominio de Internet clave utilizado para los ataques, e instó a los propietarios de dispositivos SOHO y NAS que pudieran estar infectados a reiniciar sus dispositivos para interrumpir temporalmente el malware.
A partir de enero de 2021, un análisis de Trend Micro identificó «infecciones residuales» que aún permanecen en miles de redes años después de hundir VPNFilter, incluso cuando el actor de Sandworm optó simultáneamente por reorganizar el malware en respuesta a las divulgaciones públicas.
Se cree que Cyclops Blink, como se llama el sustituto, ha estado en acción desde al menos junio de 2019, principalmente con la mirada puesta en los dispositivos de firewall WatchGuard, aunque las agencias dijeron que el malware podría reutilizarse para atacar otras arquitecturas y firmware.
Aún más preocupante, el malware de botnet se implementa como una actualización falsa y es capaz de sobrevivir reinicios y actualizaciones de firmware, con comunicaciones de comando y control (C2) facilitadas a través de la red de anonimato Tor.
«El malware en sí es sofisticado y modular con una funcionalidad central básica para enviar información del dispositivo a un servidor y permitir que los archivos se descarguen y ejecuten», señalaron los investigadores. «También hay una funcionalidad para agregar nuevos módulos mientras se ejecuta el malware, lo que permite a Sandworm implementar capacidades adicionales según sea necesario».
WatchGuard, en un boletín independiente, lo llamó una botnet patrocinada por el estado que aprovechó una vulnerabilidad de seguridad previamente identificada en el firmware de Firebox como el vector de acceso inicial. La deficiencia finalmente se solucionó a partir de mayo de 2021.
«Según las estimaciones actuales, Cyclops Blink puede haber afectado aproximadamente al 1% de los dispositivos de firewall activos de WatchGuard», dijo la compañía. «Solo aquellos dispositivos que han sido configurados para tener administración abierta a Internet son vulnerables a Cyclops Blink».
La firma con sede en Seattle también recomienda a los clientes que sigan de inmediato los pasos descritos en el Plan de remediación y diagnóstico de Cyclops Blink de 4 pasos para diagnosticar y eliminar la amenaza que representa la posible actividad maliciosa de la red de bots.
Los hallazgos se producen cuando Rusia lanzó formalmente una operación militar a gran escala para invadir Ucrania, justo cuando su infraestructura de TI quedó paralizada por una serie de borradores de datos y ataques distribuidos de denegación de servicio (DDoS).