Для ликвидации ботнета Cyclops Blink ФБР воспользовалось ордером на обыск и арест имущества

Второй раз в нынешнем году ФБР воспользовалось ордером на обыск и арест имущества с целью очистки от вредоносного ПО устройств, принадлежащих частным компаниям и пользователям без их непосредственного одобрения. Бюро воспользовалось ордером на обыск и арест, чтобы отключить ботнет Cyclops Blink, предположительно управлявшийся APT-группой Sandworm, сообщает SecurityLab.

Cyclops Blink представляет собой модульное вредоносное ПО, предназначенное для заражения и управления сетевыми устройствами, такими как маршрутизаторы и межсетевые экраны. Одной из главных целей вредоноса являлись межсетевые устройства WatchGuard Firebox. Кроме того, он атаковал маршрутизаторы производства ASUS.

ФБР удалось восстановить образ прошивки одного из скомпрометированных устройств WatchGuard с разрешения его владельца и благодаря этому изучить вредонос. Эксперты также осуществляли мониторинг трафика зараженного устройства, что позволило им идентифицировать один из релейных C&C-серверов на территории США.

Получив доступ к серверу и проанализировав его работу, специалисты установили, что C&C-серверы Cyclops Blink использовали цифровые сертификаты с определенными характеристиками. Просканировав интернет в поисках этих характеристик, они смогли идентифицировать 38 C&C-серверов, и 22 из них находились в США. С помощью ордеров на обыск и арест имущества ФБР получило контроль над некоторыми серверами.

Специалисты разработали особую технику, позволившую им подделать панель управления серверами в сети Tor и отправлять команды подконтрольным им ботам. Совместно с WatchGuard и другими правоохранительными органами ФБР разработало стратегию по очистке зараженных устройств, в соответствии с которой им отправлялась серия команд.

Эти команды были нужны для достижения следующих целей: подтверждения наличия на зараженном устройстве вредоносного кода, регистрации серийного номера зараженного устройства, извлечения копии вредоносного ПО и списка вшитых C&C-серверов, удаления вредоносного кода и добавления правила межсетевого экрана, блокирующего удаленный доступ к интерфейсу управления.

Такую же стратегию ФБР использовало в апреле прошлого года для копирования и последующего удаления web-оболочек с серверов Microsoft Exchange, использовавшихся китайской кибершпионской группировкой Hafnium.