Agentschappen in de VS en het VK waarschuwen voor nieuw Russisch botnet dat is gebouwd op basis van gehackte firewall-apparaten

Agencias de EE. UU. y el Reino Unido advierten sobre una nueva botnet rusa creada a partir de dispositivos de cortafuegos pirateados Nachrichten

Inlichtingendiensten in het VK en de VS hebben details bekendgemaakt over een nieuwe botnet-malware genaamd Cycloop knippert dat is toegeschreven aan de door Rusland gesteunde Sandworm-hackgroep en ingezet bij aanvallen die teruggaan tot 2019.

“Cyclops Blink lijkt een vervangend raamwerk te zijn voor de VPNFilter-malware die in 2018 werd blootgelegd en die gebruikmaakte van netwerkapparaten, voornamelijk kleine kantoor-/thuiskantoorrouters (SOHO) en NAS-apparaten (Network-Attached Storage)”, aldus de agentschappen. zei. “Net als VPNFilter lijkt de inzet van Cyclops Blink ook willekeurig en wijdverbreid.”

De gezamenlijke overheidsadvisering komt van het Britse National Cyber ​​Security Centre (NCSC), de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Federal Bureau of Investigation (FBI) in de VS

Zandwormook bekend als Voodoo Bear, is de naam die is toegewezen aan a zeer geavanceerde tegenstander opererend vanuit Rusland waarvan bekend is dat het actief is sinds ten minste 2008. De hackgroep heeft een bijzondere focus getoond op het aanvallen van entiteiten in Oekraïne en zou achter de aanvallen op de Oekraïense energiesector zitten die eind 2015 wijdverbreide stroomstoringen veroorzaakten.

De dreigingsactor, in oktober 2020was formeel verbonden met de Russische Generale Staf Main Intelligence Directorate (GRU) Main Center for Special Technologies (GTsST) militaire eenheid 74455.

VPNFilter werd voor het eerst gedocumenteerd door Cisco Talos in mei 2018 en beschrijft het als een “geavanceerd modulair malwaresysteem” dat overlapt met dat van Sandworm. zwarte energie malware en beschikt over mogelijkheden om het verzamelen van inlichtingen en destructieve cyberaanvaloperaties te ondersteunen.

De IoT-botnet-malware bleek meer dan 500.000 routers in ten minste 54 landen te hebben gecompromitteerd, gericht op apparaten van Linksys, MikroTik, NETGEAR en TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL en ZTE.

Diezelfde maand kondigde de Amerikaanse regering de inbeslagname en verwijdering aan van een belangrijk internetdomein dat voor de aanvallen werd gebruikt, en drong er bij eigenaren van SOHO- en NAS-apparaten die mogelijk geïnfecteerd zijn op aan om hun apparaten opnieuw op te starten om de malware tijdelijk te verstoren.

Vanaf januari 2021 is een analyse van Trend Micro identificeerde “restinfecties” die nog steeds op duizenden netwerken achterblijven, jaren na het zinken van VPNFilter, zelfs toen de Sandworm-acteur er tegelijkertijd voor koos om de malware opnieuw te gebruiken als reactie op openbare onthullingen.

Cyclops Blink, zoals de vervanger wordt genoemd, wordt verondersteld in actie te zijn geweest sinds ten minste juni 2019, voornamelijk gericht op WatchGuard-firewallapparaten, hoewel de agentschappen zeiden dat de malware opnieuw zou kunnen worden gebruikt om andere architecturen en firmware aan te vallen.

Nog zorgwekkender is dat de botnet-malware wordt ingezet als een nep-update en in staat is om reboots en firmware-upgrades te overleven, waarbij command-and-control (C2) communicatie wordt gefaciliteerd via het Tor-anonimiteitsnetwerk.

“De malware zelf is geavanceerd en modulair met basisfunctionaliteit om apparaatinformatie terug naar een server te sturen en bestanden te downloaden en uit te voeren”, merkten de onderzoekers op. “Er is ook functionaliteit om nieuwe modules toe te voegen terwijl de malware actief is, waardoor Sandworm indien nodig extra mogelijkheden kan implementeren.”

WatchGuard, in een onafhankelijk bulletin, noemde het een door de staat gesponsord botnet dat gebruikmaakte van een eerder geïdentificeerd beveiligingsprobleem in de Firebox-firmware als de initiële toegangsvector. De tekortkoming is uiteindelijk per mei 2021 verholpen.

“Op basis van de huidige schattingen heeft Cyclops Blink mogelijk invloed gehad op ongeveer 1% van de actieve WatchGuard-firewallapparaten”, aldus het bedrijf. “Alleen de apparaten die zijn geconfigureerd om het beheer open te stellen voor internet, zijn kwetsbaar voor Cyclops Blink.”

Het in Seattle gevestigde bedrijf beveelt klanten ook aan om onmiddellijk de stappen te volgen die worden beschreven in de: 4-stappen Cyclops Blink-diagnose- en herstelplan om de dreiging van potentiële kwaadaardige activiteiten van het botnet te diagnosticeren en te elimineren.

De bevindingen komen op het moment dat Rusland formeel een grootschalige militaire operatie lanceerde om Oekraïne binnen te vallen, net toen de IT-infrastructuur verlamd werd door een reeks data wiper- en gedistribueerde denial-of-service (DDoS)-aanvallen.

David
Rate author
Hackarizona