Het Amerikaanse ministerie van Justitie (DoJ) heeft aangekondigd dat het de Cycloop knipperteen modulair botnet dat wordt beheerd door een dreigingsactor die bekend staat als Sandworm, en dat is toegeschreven aan het hoofddirectoraat van de inlichtingendienst van de generale staf van de strijdkrachten van de Russische Federatie (GRU).
“De operatie kopieerde en verwijderde malware van kwetsbare op internet aangesloten firewall-apparaten die Sandworm gebruikte voor command-and-control (C2) van het onderliggende botnet”, aldus het DoJ. zei woensdag in een verklaring.
Naast het verstoren van de C2-infrastructuur, sloot de operatie ook de externe beheerpoorten die de dreigingsactor gebruikte om verbindingen tot stand te brengen met de firewall-apparaten, waardoor het contact effectief werd verbroken en de hackgroep de geïnfecteerde apparaten niet kon gebruiken om het botnet te beheersen.
De door de rechtbank geautoriseerde verstoring van Cyclops Blink op 22 maart komt iets meer dan een maand nadat inlichtingendiensten in het VK en de VS het botnet beschreven als een vervangend raamwerk voor de VPNFilter-malware die in mei 2018 werd blootgesteld en verzonken.
Cyclops Blink, waarvan wordt aangenomen dat het al in juni 2019 is verschenen, was voornamelijk gericht op WatchGuard-firewall-apparaten en ASUS-routers, waarbij de Sandworm-groep gebruikmaakte van een eerder geïdentificeerd beveiligingsprobleem in WatchGuard’s Firebox-firmware als een eerste toegangsvector.
Een vervolganalyse door cyberbeveiligingsbedrijf Trend Micro vorige maand suggereerde de mogelijkheid dat het botnet een poging is om “een infrastructuur te bouwen voor verdere aanvallen op hoogwaardige doelen”.
“Deze netwerkapparaten bevinden zich vaak aan de rand van het computernetwerk van een slachtoffer, waardoor Sandworm de mogelijkheid heeft om kwaadaardige activiteiten uit te voeren tegen alle computers binnen die netwerken”, voegde het DoJ eraan toe.
Details van de beveiligingsfout zijn nooit openbaar gemaakt, afgezien van het feit dat het bedrijf het probleem heeft aangepakt als onderdeel van software-updates die in mei 2021 zijn uitgegeven, met WatchGuard opmerkend integendeel dat de problemen intern werden ontdekt en dat ze niet “actief in het wild werden gevonden”.
Het bedrijf heeft sindsdien zijn Veelgestelde vragen over Cyclops Blink om duidelijk te maken dat de kwetsbaarheid in kwestie is: CVE-2022-23176 (CVSS-score: 8,8), waarmee “een onbevoegde gebruiker met toegang tot Firebox-beheer zich als beheerder bij het systeem kan authenticeren” en ongeautoriseerde externe toegang kan krijgen.
ASUS heeft van zijn kant vrijgegeven firmware-patches vanaf 1 april 2022 om de dreiging te blokkeren en gebruikers aan te bevelen om te updaten naar de nieuwste versie.
