Le département américain de la Justice (DoJ) a annoncé avoir neutralisé Cyclope Clignotementun botnet modulaire contrôlé par un acteur menaçant connu sous le nom de Sandworm, qui a été attribué à la Direction principale du renseignement de l’état-major général des Forces armées de la Fédération de Russie (GRU).
« L’opération a copié et supprimé les logiciels malveillants des pare-feu vulnérables connectés à Internet que Sandworm utilisait pour la commande et le contrôle (C2) du botnet sous-jacent », a déclaré le DoJ. mentionné dans un communiqué mercredi.
En plus de perturber son infrastructure C2, l’opération a également fermé les ports de gestion externes que l’acteur malveillant utilisait pour établir des connexions avec les dispositifs de pare-feu, coupant ainsi le contact et empêchant le groupe de piratage d’utiliser les appareils infectés pour réquisitionner le botnet.
La perturbation de Cyclops Blink, autorisée par le tribunal le 22 mars, intervient un peu plus d’un mois après que les agences de renseignement du Royaume-Uni et des États-Unis ont décrit le botnet comme un cadre de remplacement pour le logiciel malveillant VPNFilter qui a été exposé et englouti en mai 2018.
Cyclops Blink, qui serait apparu dès juin 2019, ciblait principalement les appliances de pare-feu WatchGuard et les routeurs ASUS, le groupe Sandworm exploitant une vulnérabilité de sécurité précédemment identifiée dans le micrologiciel Firebox de WatchGuard comme vecteur d’accès initial.
Une analyse de suivi réalisée par la société de cybersécurité Trend Micro le mois dernier a suggéré la possibilité que le botnet soit une tentative de « construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur ».
« Ces périphériques réseau sont souvent situés sur le périmètre du réseau informatique d’une victime, offrant ainsi à Sandworm la capacité potentielle de mener des activités malveillantes contre tous les ordinateurs de ces réseaux », a ajouté le DoJ.
Les détails de la faille de sécurité n’ont jamais été rendus publics au-delà du fait que la société a résolu le problème dans le cadre des mises à jour logicielles publiées en mai 2021, avec WatchGuard notant au contraire que les problèmes ont été détectés en interne et qu’ils n’ont pas été « activement trouvés dans la nature ».
La société a depuis révisé son FAQ Cyclope Blink préciser que la vulnérabilité en question est CVE-2022-23176 (score CVSS : 8,8), ce qui pourrait « permettre à un utilisateur non privilégié ayant accès à la gestion du Firebox de s’authentifier auprès du système en tant qu’administrateur » et d’obtenir un accès à distance non autorisé.
ASUS, pour sa part, a correctifs de firmware publiés à compter du 1er avril 2022, pour bloquer la menace, recommandant aux utilisateurs de mettre à jour vers la dernière version.