Stati Uniti e Regno Unito attribuiscono Ciclope Blink a Sandworm.

Le autorità hanno collegato una recente campagna di malware a Sandworm, il gruppo APT dietro gli attacchi distruttivi che hanno coinvolto NotPetya nel 2017.

Avvisi congiunti sulla sicurezza mercoledì dal National Cyber ​​Security Center (NCSC) del Regno Unito, dalla Cybersecurity and Infrastructure Security Agency, dalla National Security Agency e dall’FBI hanno rivelato che il gruppo con sede in Russia, noto anche come Voodoo, il quale ha sostituito il suo malware VPNFilter con Cyclops Blink.

Sebbene le autorità e i fornitori stabiliscano l’attività iniziale di Cyclops Blink nel 2019, più di un anno dopo l’interruzione di VPNFilter da parte del Dipartimento di giustizia degli Stati Uniti, questa è la prima volta che viene pubblicamente attribuita.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In passato, Sandworm ha implementato la botnet VPNFilter per sfruttare “dispositivi di rete, principalmente router per piccoli uffici e uffici domestici (SOHO) e dispositivi NAS (Network Attached Storage)”, secondo l’avviso.

È stato persino utilizzato per prendere di mira le vittime nella Repubblica di Corea prima delle Olimpiadi invernali del 2018 e per una serie di attacchi contro la Georgia nel 2019. Nel 2020, sei ufficiali dell’intelligence presso il centro russo per le tecnologie speciali del GRU associato a Sandworm sono stati incriminati dagli Stati Uniti.

Sembra che siano ancora attivi mentre si riorganizzano da un malware dannoso a quello successivo. L’avviso descriveva Cyclops Blink come “sofisticato e modulare”, fornendo a Sandworm la possibilità di “aggiungere nuovi moduli mentre il malware è in esecuzione”.

Ad oggi, le autorità lo hanno osservato di essere stato utilizzato contro il fornitore di sicurezza di rete WatchGuard Technologies. Tuttavia, l’avviso avverte che il suo utilizzo si estenderà probabilmente ad “altre architetture e firmware”.“In comune con VPNFilter, anche l’implementazione di Cyclops Blink appare indiscriminata e diffusa”ha affermato l’ avviso dell’NCSC .

Per far luce sulla minaccia, WatchGuard ha fornito all’FBI due campioni della botnet prelevati dai suoi dispositivi Firebox. Un’analisi ha rilevato che l’attore ha offuscato la botnet come parte del riavvio e come aggiornamento del firmware legittimo.

“Gli sviluppatori hanno chiaramente decodificato il processo di aggiornamento del firmware di WatchGuard Firebox e hanno identificato un punto debole specifico in questo processo, vale a dire la capacità di ricalcolare il valore HMAC utilizzato per verificare un’immagine di aggiornamento del firmware”

afferma il rapporto.

WatchGuard ha affrontato la minaccia in un post sul blog mercoledì, dopo aver collaborato con le autorità e Mandiant per indagare sull’impatto, che finora sembra limitato. WatchGuard ha confermato che la propria rete “non è stata danneggiata o violata”. Inoltre, l’indagine non ha trovato prove di esfiltrazione di dati dalla società o dai suoi clienti.

Il fornitore con sede a Seattle è stato fondato nel 2015 e, secondo la sua pagina LinkedIn, le sue offerte “proteggono più di 250.000 clienti”. Il blog ha sottolineato che l’impatto è probabilmente limitato ai suoi clienti aziendali.

“Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l’1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato”

afferma il blog.
Insieme alle autorità, WatchGuard ha impiegato un processo in quattro fasi, che include uno strumento di rilevamento, per determinare una diagnosi e rimediare se necessario.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli