Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Febbraio 2022 17:49
Le autorità hanno collegato una recente campagna di malware a Sandworm, il gruppo APT dietro gli attacchi distruttivi che hanno coinvolto NotPetya nel 2017.
Avvisi congiunti sulla sicurezza mercoledì dal National Cyber Security Center (NCSC) del Regno Unito, dalla Cybersecurity and Infrastructure Security Agency, dalla National Security Agency e dall’FBI hanno rivelato che il gruppo con sede in Russia, noto anche come Voodoo, il quale ha sostituito il suo malware VPNFilter con Cyclops Blink.
Sebbene le autorità e i fornitori stabiliscano l’attività iniziale di Cyclops Blink nel 2019, più di un anno dopo l’interruzione di VPNFilter da parte del Dipartimento di giustizia degli Stati Uniti, questa è la prima volta che viene pubblicamente attribuita.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In passato, Sandworm ha implementato la botnet VPNFilter per sfruttare “dispositivi di rete, principalmente router per piccoli uffici e uffici domestici (SOHO) e dispositivi NAS (Network Attached Storage)”, secondo l’avviso.
È stato persino utilizzato per prendere di mira le vittime nella Repubblica di Corea prima delle Olimpiadi invernali del 2018 e per una serie di attacchi contro la Georgia nel 2019. Nel 2020, sei ufficiali dell’intelligence presso il centro russo per le tecnologie speciali del GRU associato a Sandworm sono stati incriminati dagli Stati Uniti.
Sembra che siano ancora attivi mentre si riorganizzano da un malware dannoso a quello successivo. L’avviso descriveva Cyclops Blink come “sofisticato e modulare”, fornendo a Sandworm la possibilità di “aggiungere nuovi moduli mentre il malware è in esecuzione”.
Ad oggi, le autorità lo hanno osservato di essere stato utilizzato contro il fornitore di sicurezza di rete WatchGuard Technologies. Tuttavia, l’avviso avverte che il suo utilizzo si estenderà probabilmente ad “altre architetture e firmware”.“In comune con VPNFilter, anche l’implementazione di Cyclops Blink appare indiscriminata e diffusa”ha affermato l’ avviso dell’NCSC .
Per far luce sulla minaccia, WatchGuard ha fornito all’FBI due campioni della botnet prelevati dai suoi dispositivi Firebox. Un’analisi ha rilevato che l’attore ha offuscato la botnet come parte del riavvio e come aggiornamento del firmware legittimo.
“Gli sviluppatori hanno chiaramente decodificato il processo di aggiornamento del firmware di WatchGuard Firebox e hanno identificato un punto debole specifico in questo processo, vale a dire la capacità di ricalcolare il valore HMAC utilizzato per verificare un’immagine di aggiornamento del firmware”
afferma il rapporto.
WatchGuard ha affrontato la minaccia in un post sul blog mercoledì, dopo aver collaborato con le autorità e Mandiant per indagare sull’impatto, che finora sembra limitato. WatchGuard ha confermato che la propria rete “non è stata danneggiata o violata”. Inoltre, l’indagine non ha trovato prove di esfiltrazione di dati dalla società o dai suoi clienti.
Il fornitore con sede a Seattle è stato fondato nel 2015 e, secondo la sua pagina LinkedIn, le sue offerte “proteggono più di 250.000 clienti”. Il blog ha sottolineato che l’impatto è probabilmente limitato ai suoi clienti aziendali.
“Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l’1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato”
afferma il blog.
Insieme alle autorità, WatchGuard ha impiegato un processo in quattro fasi, che include uno strumento di rilevamento, per determinare una diagnosi e rimediare se necessario.
RedazioneIn Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
Il Dipartimento di Giustizia degli Stati Uniti ha accusato i fratelli gemelli Muneeb e Sohaib Akhter di aver cancellato 96 database contenenti informazioni sensibili, tra cui verbali di indagini e doc...
Malgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
Secondo Eurostat nel 2023 solo il 55% dei cittadini dell’Unione Europea tra i 16 e i 74 anni possedeva competenze digitali almeno di base, con forti differenze tra paesi: si va da valori intorno all...
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
