Redazione RHC : 24 Febbraio 2022 17:49
Le autorità hanno collegato una recente campagna di malware a Sandworm, il gruppo APT dietro gli attacchi distruttivi che hanno coinvolto NotPetya nel 2017.
Avvisi congiunti sulla sicurezza mercoledì dal National Cyber Security Center (NCSC) del Regno Unito, dalla Cybersecurity and Infrastructure Security Agency, dalla National Security Agency e dall’FBI hanno rivelato che il gruppo con sede in Russia, noto anche come Voodoo, il quale ha sostituito il suo malware VPNFilter con Cyclops Blink.
Sebbene le autorità e i fornitori stabiliscano l’attività iniziale di Cyclops Blink nel 2019, più di un anno dopo l’interruzione di VPNFilter da parte del Dipartimento di giustizia degli Stati Uniti, questa è la prima volta che viene pubblicamente attribuita.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In passato, Sandworm ha implementato la botnet VPNFilter per sfruttare “dispositivi di rete, principalmente router per piccoli uffici e uffici domestici (SOHO) e dispositivi NAS (Network Attached Storage)”, secondo l’avviso.
È stato persino utilizzato per prendere di mira le vittime nella Repubblica di Corea prima delle Olimpiadi invernali del 2018 e per una serie di attacchi contro la Georgia nel 2019. Nel 2020, sei ufficiali dell’intelligence presso il centro russo per le tecnologie speciali del GRU associato a Sandworm sono stati incriminati dagli Stati Uniti.
Sembra che siano ancora attivi mentre si riorganizzano da un malware dannoso a quello successivo. L’avviso descriveva Cyclops Blink come “sofisticato e modulare”, fornendo a Sandworm la possibilità di “aggiungere nuovi moduli mentre il malware è in esecuzione”.
Ad oggi, le autorità lo hanno osservato di essere stato utilizzato contro il fornitore di sicurezza di rete WatchGuard Technologies. Tuttavia, l’avviso avverte che il suo utilizzo si estenderà probabilmente ad “altre architetture e firmware”.“In comune con VPNFilter, anche l’implementazione di Cyclops Blink appare indiscriminata e diffusa”ha affermato l’ avviso dell’NCSC .
Per far luce sulla minaccia, WatchGuard ha fornito all’FBI due campioni della botnet prelevati dai suoi dispositivi Firebox. Un’analisi ha rilevato che l’attore ha offuscato la botnet come parte del riavvio e come aggiornamento del firmware legittimo.
“Gli sviluppatori hanno chiaramente decodificato il processo di aggiornamento del firmware di WatchGuard Firebox e hanno identificato un punto debole specifico in questo processo, vale a dire la capacità di ricalcolare il valore HMAC utilizzato per verificare un’immagine di aggiornamento del firmware”
afferma il rapporto.
WatchGuard ha affrontato la minaccia in un post sul blog mercoledì, dopo aver collaborato con le autorità e Mandiant per indagare sull’impatto, che finora sembra limitato. WatchGuard ha confermato che la propria rete “non è stata danneggiata o violata”. Inoltre, l’indagine non ha trovato prove di esfiltrazione di dati dalla società o dai suoi clienti.
Il fornitore con sede a Seattle è stato fondato nel 2015 e, secondo la sua pagina LinkedIn, le sue offerte “proteggono più di 250.000 clienti”. Il blog ha sottolineato che l’impatto è probabilmente limitato ai suoi clienti aziendali.
“Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l’1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato”
afferma il blog.
Insieme alle autorità, WatchGuard ha impiegato un processo in quattro fasi, che include uno strumento di rilevamento, per determinare una diagnosi e rimediare se necessario.
RedazioneAvevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
