Cyclops Blink Malware
Mehrere Cybersicherheitsbehörden aus den USA und Großbritannien haben eine neue gemeinsame Sicherheitsempfehlung veröffentlicht, in der sie ihre Ergebnisse einer als Cyclops Blink verfolgten Malware-Bedrohung detailliert beschreiben. Dem Bericht zufolge soll die Malware mit einer von Russland unterstützten Cyberspionage-Gruppe namens Sandworm in Verbindung stehen. Dieselbe Gruppe von Hackern wurde auch als Voodoo Bear, BlackEnergy und TeleBots verfolgt und ist schätzungsweise seit fast 20 Jahren aktiv.
Der Cyclops Blink scheint der Nachfolger der früheren Sandworm-Malware namens VPNFilter zu sein, die bereits 2018 der Öffentlichkeit zugänglich gemacht wurde. Das neue Bedrohungstool wurde entwickelt, um ein Botnetz aus kompromittierten WatchGuard Firebox und ähnlichen Netzwerkgeräten zu erstellen. Die Drohung wird wahllos und weit verbreitet verbreitet.
Bedrohliche Funktionen
Sobald der Cyclops Blink auf den Zielgeräten eingerichtet ist, bietet er den Sandworm-Hackern Hintertürzugriff auf die kompromittierten Netzwerke. Die invasiven Merkmale der Bedrohung werden durch speziell entwickelte Module verbreitet. Einige der bemerkenswertesten schädlichen Funktionen der Malware umfassen die Fähigkeit, zusätzliche Dateien abzurufen, ausgewählte Dateien zu exfiltrieren, Geräteinformationen zu sammeln und zu übertragen und Updates von den Operationen des Command-and-Control (C2)-Servers zu erhalten.
Die Techniken, die Cyclops Blink verwendet, um sich in die infizierten Geräte einzubetten, ermöglichen es ihm, legitime Kanäle für Firmware-Updates auszunutzen. Infolgedessen kann die Bedrohung auch nach Neustarts und sogar während des offiziellen Firmware-Aktualisierungsprozesses auf dem System bestehen bleiben.
WatchGuard hat eine eigene Empfehlung veröffentlicht, in der es heißt, dass etwa 1 % seiner aktiven Firewall-Geräte von der Bedrohung betroffen sein könnten. Es sollte davon ausgegangen werden, dass alle Konten auf den betroffenen Systemen kompromittiert sind, und die betroffenen Organisationen sollten die erforderlichen Schritte unternehmen, um die Verwaltungsschnittstelle der Netzwerkgeräte vom Internet zu trennen.
