Redazione RHC : 24 Febbraio 2022 17:49
Le autorità hanno collegato una recente campagna di malware a Sandworm, il gruppo APT dietro gli attacchi distruttivi che hanno coinvolto NotPetya nel 2017.
Avvisi congiunti sulla sicurezza mercoledì dal National Cyber Security Center (NCSC) del Regno Unito, dalla Cybersecurity and Infrastructure Security Agency, dalla National Security Agency e dall’FBI hanno rivelato che il gruppo con sede in Russia, noto anche come Voodoo, il quale ha sostituito il suo malware VPNFilter con Cyclops Blink.
Sebbene le autorità e i fornitori stabiliscano l’attività iniziale di Cyclops Blink nel 2019, più di un anno dopo l’interruzione di VPNFilter da parte del Dipartimento di giustizia degli Stati Uniti, questa è la prima volta che viene pubblicamente attribuita.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In passato, Sandworm ha implementato la botnet VPNFilter per sfruttare “dispositivi di rete, principalmente router per piccoli uffici e uffici domestici (SOHO) e dispositivi NAS (Network Attached Storage)”, secondo l’avviso.
È stato persino utilizzato per prendere di mira le vittime nella Repubblica di Corea prima delle Olimpiadi invernali del 2018 e per una serie di attacchi contro la Georgia nel 2019. Nel 2020, sei ufficiali dell’intelligence presso il centro russo per le tecnologie speciali del GRU associato a Sandworm sono stati incriminati dagli Stati Uniti.
Sembra che siano ancora attivi mentre si riorganizzano da un malware dannoso a quello successivo. L’avviso descriveva Cyclops Blink come “sofisticato e modulare”, fornendo a Sandworm la possibilità di “aggiungere nuovi moduli mentre il malware è in esecuzione”.
Ad oggi, le autorità lo hanno osservato di essere stato utilizzato contro il fornitore di sicurezza di rete WatchGuard Technologies. Tuttavia, l’avviso avverte che il suo utilizzo si estenderà probabilmente ad “altre architetture e firmware”.“In comune con VPNFilter, anche l’implementazione di Cyclops Blink appare indiscriminata e diffusa”ha affermato l’ avviso dell’NCSC .
Per far luce sulla minaccia, WatchGuard ha fornito all’FBI due campioni della botnet prelevati dai suoi dispositivi Firebox. Un’analisi ha rilevato che l’attore ha offuscato la botnet come parte del riavvio e come aggiornamento del firmware legittimo.
“Gli sviluppatori hanno chiaramente decodificato il processo di aggiornamento del firmware di WatchGuard Firebox e hanno identificato un punto debole specifico in questo processo, vale a dire la capacità di ricalcolare il valore HMAC utilizzato per verificare un’immagine di aggiornamento del firmware”
afferma il rapporto.
WatchGuard ha affrontato la minaccia in un post sul blog mercoledì, dopo aver collaborato con le autorità e Mandiant per indagare sull’impatto, che finora sembra limitato. WatchGuard ha confermato che la propria rete “non è stata danneggiata o violata”. Inoltre, l’indagine non ha trovato prove di esfiltrazione di dati dalla società o dai suoi clienti.
Il fornitore con sede a Seattle è stato fondato nel 2015 e, secondo la sua pagina LinkedIn, le sue offerte “proteggono più di 250.000 clienti”. Il blog ha sottolineato che l’impatto è probabilmente limitato ai suoi clienti aziendali.
“Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l’1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato”
afferma il blog.
Insieme alle autorità, WatchGuard ha impiegato un processo in quattro fasi, che include uno strumento di rilevamento, per determinare una diagnosi e rimediare se necessario.
RedazioneUn nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
C’è un fenomeno noto ma di cui si parla poco, e che ogni giorno colpisce senza distinzione: la pornografia algoritmica. È una forma di inquinamento semantico che trasforma l’identità digitale i...
Google si avvicina alla presentazione ufficiale di Gemini 3.0, il nuovo modello di intelligenza artificiale destinato a rappresentare uno dei passaggi più rilevanti nella strategia dell’azienda. Se...
La sicurezza del Louvre è di nuovo sotto accusa dopo che alcuni burloni sono riusciti a ingannare le guardie e ad appendere il loro dipinto nella stessa stanza della Monna Lisa. Il duo belga Neel e S...
