Представители правоохранительных органов США и Великобритании связали новое вредоносное ПО под названием Cyclops Blink с российской хакерской группировкой Sandworm, сообщает SecurityLab.
Вредоносное ПО использовалось в атаках на устройства сетевой безопасности WatchGuard Firebox и другие сетевые устройства малого офиса/домашнего офиса (SOHO).
«Вредоносное ПО, получившее название Cyclops Blink, похоже, является заменой вредоносного ПО VPNFilter, обнаруженного в 2018 году, и его развертывание может позволить Sandworm получать удаленный доступ к сетям. Как и в случае с VPNFilter, развертывание Cyclops Blink также кажется неизбирательным и широко распространенным», — сообщили представители Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre, NCSC).
Как сообщили представители компании WatchGuard, Cyclops Blink мог повлиять примерно на 1% всех активных устройств межсетевых экранов WatchGuard, используемые бизнес-клиентами.
Согласно анализу NCSC, ФБР, CISA и АНБ, вредоносное ПО также поставляется с модулями, специально разработанными для загрузки/скачивания файлов на командный сервер и с него, кражи информации об устройствах, а также обновления вредоносного ПО. Вредоносная программа использует легитимные каналы обновления прошивки зараженных устройств для сохранения доступа к скомпрометированным системам путем внедрения вредоносного кода и развертывания переупакованных образов прошивки.
WatchGuard тесно сотрудничает с ФБР, CISA и NCSC и предоставила инструменты и рекомендации, позволяющие обнаружить и удалить Cyclops Blink на устройствах WatchGuard с помощью «нестандартного» процесса обновления.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.