Redazione RHC : 24 Febbraio 2022 17:49
Le autorità hanno collegato una recente campagna di malware a Sandworm, il gruppo APT dietro gli attacchi distruttivi che hanno coinvolto NotPetya nel 2017.
Avvisi congiunti sulla sicurezza mercoledì dal National Cyber Security Center (NCSC) del Regno Unito, dalla Cybersecurity and Infrastructure Security Agency, dalla National Security Agency e dall’FBI hanno rivelato che il gruppo con sede in Russia, noto anche come Voodoo, il quale ha sostituito il suo malware VPNFilter con Cyclops Blink.
Sebbene le autorità e i fornitori stabiliscano l’attività iniziale di Cyclops Blink nel 2019, più di un anno dopo l’interruzione di VPNFilter da parte del Dipartimento di giustizia degli Stati Uniti, questa è la prima volta che viene pubblicamente attribuita.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In passato, Sandworm ha implementato la botnet VPNFilter per sfruttare “dispositivi di rete, principalmente router per piccoli uffici e uffici domestici (SOHO) e dispositivi NAS (Network Attached Storage)”, secondo l’avviso.
È stato persino utilizzato per prendere di mira le vittime nella Repubblica di Corea prima delle Olimpiadi invernali del 2018 e per una serie di attacchi contro la Georgia nel 2019. Nel 2020, sei ufficiali dell’intelligence presso il centro russo per le tecnologie speciali del GRU associato a Sandworm sono stati incriminati dagli Stati Uniti.
Sembra che siano ancora attivi mentre si riorganizzano da un malware dannoso a quello successivo. L’avviso descriveva Cyclops Blink come “sofisticato e modulare”, fornendo a Sandworm la possibilità di “aggiungere nuovi moduli mentre il malware è in esecuzione”.
Ad oggi, le autorità lo hanno osservato di essere stato utilizzato contro il fornitore di sicurezza di rete WatchGuard Technologies. Tuttavia, l’avviso avverte che il suo utilizzo si estenderà probabilmente ad “altre architetture e firmware”.“In comune con VPNFilter, anche l’implementazione di Cyclops Blink appare indiscriminata e diffusa”ha affermato l’ avviso dell’NCSC .
Per far luce sulla minaccia, WatchGuard ha fornito all’FBI due campioni della botnet prelevati dai suoi dispositivi Firebox. Un’analisi ha rilevato che l’attore ha offuscato la botnet come parte del riavvio e come aggiornamento del firmware legittimo.
“Gli sviluppatori hanno chiaramente decodificato il processo di aggiornamento del firmware di WatchGuard Firebox e hanno identificato un punto debole specifico in questo processo, vale a dire la capacità di ricalcolare il valore HMAC utilizzato per verificare un’immagine di aggiornamento del firmware”
afferma il rapporto.
WatchGuard ha affrontato la minaccia in un post sul blog mercoledì, dopo aver collaborato con le autorità e Mandiant per indagare sull’impatto, che finora sembra limitato. WatchGuard ha confermato che la propria rete “non è stata danneggiata o violata”. Inoltre, l’indagine non ha trovato prove di esfiltrazione di dati dalla società o dai suoi clienti.
Il fornitore con sede a Seattle è stato fondato nel 2015 e, secondo la sua pagina LinkedIn, le sue offerte “proteggono più di 250.000 clienti”. Il blog ha sottolineato che l’impatto è probabilmente limitato ai suoi clienti aziendali.
“Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l’1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato”
afferma il blog.
Insieme alle autorità, WatchGuard ha impiegato un processo in quattro fasi, che include uno strumento di rilevamento, per determinare una diagnosi e rimediare se necessario.
RedazioneQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
