Cyclops Blink в обращении с 2019 года

Правительства Великобритании и США предупреждают о недавно задокументированных вредоносных программах, которые атакуют маршрутизаторы SOHO, брандмауэры и устройства NAS.

Американское агентство CISA назвало вредоносное ПО Cyclops Blink российским ГРУ (Главное разведывательное управление Генштаба в Москве), поскольку вредоносное ПО заменяет VPNFilter, ранее находившийся в ведении ГРУ.

По данным силовых структур, вредоносное ПО активно с июня 2019 года.

До сих пор новое вредоносное ПО было замечено только на межсетевых экранах WatchGuard Firebox и только в том случае, если пользователи изменили настройки по умолчанию, чтобы разрешить удаленный доступ к интерфейсам управления маршрутами.

Компания заявляет , что Cyclops Blink заразил 1 процент активных брандмауэров, и пока что ей не известно об утечке данных ни от WatchGuard, ни от ее клиентов.

WatchGuard опубликовал инструмент обнаружения Cyclops Blink вместе с инструкциями по исправлению.

Как и VPNFilter, Cyclops Blink представляет собой модульную систему.

Как поясняет NCSC: «Само вредоносное ПО является сложным и модульным с базовыми функциями ядра, чтобы передавать информацию об устройстве обратно на сервер и обеспечивать загрузку и выполнение файлов».

Вредоносное ПО устанавливается в виде обновления прошивки, при этом скомпрометированные брандмауэры передаются под контроль сети управления и контроля.

CISA пояснила: «Устройства-жертвы организованы в кластеры, и каждое развертывание Cyclops Blink имеет список IP-адресов и портов управления и контроля (C2), которые оно использует. Все известные на сегодняшний день IP-адреса C2 использовались скомпрометированными устройствами брандмауэра WatchGuard.

NCSC Англии (часть GCHQ, которая работала с CISA над анализом Cyclops Blink) выпустила технический анализ ( PDF ) вредоносного ПО, как и АНБ (PDF).

В этом документе поясняется, что Cyclops Blink — это исполняемый файл Linux, скомпилированный для 32-битной архитектуры PowerPC, которую WatchGuard в основном использует для младших устройств.

Коммуникации управления и контроля используют «специальный двоичный протокол TLS», а сообщения шифруются индивидуально.

В CISA заявили, что если пользователь обнаружит инфекцию Cyclops Blink, он должен «предполагать, что любые пароли, присутствующие на устройстве, были скомпрометированы, и заменить их», а также «убедиться, что интерфейс управления сетевыми устройствами не подвергается воздействию Интернета».

Песчаный червь, также известный как Voodoo Bear, был активен в течение нескольких лет и был связан с слежкой за НАСА и другими организациями через ошибку в Windows, атаки 2018 года на украинские энергетические и транспортные компании и эксплойт 2020 года для сообщения электронной почты EXIM. трансферный агент.

Ричард Чиргвин, 24 февраля 2022 г.

Published on  February 27th, 2022

Навигация: