США и Великобритания связали вредонос Cyclops Blink с группировкой Sandworm

25.02.2022
США и Великобритания связали вредонос Cyclops Blink с группировкой Sandworm

Представители правоохранительных органов США и Великобритании связали новое вредоносное ПО под названием Cyclops Blink с российской хакерской группировкой Sandworm, сообщает SecurityLab.

Вредоносное ПО использовалось в атаках на устройства сетевой безопасности WatchGuard Firebox и другие сетевые устройства малого офиса/домашнего офиса (SOHO).

«Вредоносное ПО, получившее название Cyclops Blink, похоже, является заменой вредоносного ПО VPNFilter, обнаруженного в 2018 году, и его развертывание может позволить Sandworm получать удаленный доступ к сетям. Как и в случае с VPNFilter, развертывание Cyclops Blink также кажется неизбирательным и широко распространенным», — сообщили представители Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre, NCSC).

Как сообщили представители компании WatchGuard, Cyclops Blink мог повлиять примерно на 1% всех активных устройств межсетевых экранов WatchGuard, используемые бизнес-клиентами.

Согласно анализу NCSC, ФБР, CISA и АНБ, вредоносное ПО также поставляется с модулями, специально разработанными для загрузки/скачивания файлов на командный сервер и с него, кражи информации об устройствах, а также обновления вредоносного ПО. Вредоносная программа использует легитимные каналы обновления прошивки зараженных устройств для сохранения доступа к скомпрометированным системам путем внедрения вредоносного кода и развертывания переупакованных образов прошивки.

WatchGuard тесно сотрудничает с ФБР, CISA и NCSC и предоставила инструменты и рекомендации, позволяющие обнаружить и удалить Cyclops Blink на устройствах WatchGuard с помощью «нестандартного» процесса обновления.


Популярные материалы