Le forze dell’ordine statunitensi e britanniche hanno collegato un nuovo malware chiamato Cyclops Blink al gruppo di hacker russo Sandworm.

Il malware è stato utilizzato negli attacchi contro gli appliance di sicurezza di rete WatchGuard Firebox e altri dispositivi di rete SOHO (Small Office/Home Office).

“Il malware, soprannominato Cyclops Blink, sembra essere un sostituto del malware VPNFilter scoperto nel 2018 e la sua distribuzione potrebbe consentire a Sandworm di accedere alle reti da remoto. Come con VPNFilter, anche l’implementazione di Cyclops Blink sembra essere indiscriminata e diffusa”

ha affermato il National Cyber ​​​​Security Center (NCSC) del Regno Unito.

Cyclops Blink potrebbe aver interessato circa l’1% di tutti i dispositivi firewall WatchGuard attivi utilizzati dai clienti aziendali, ha affermato WatchGuard.

Secondo l’analisi di NCSC, FBI, CISA e NSA, il malware include anche moduli progettati specificamente per caricare/scaricare file da e verso il C&C, rubare informazioni sul dispositivo e aggiornare il malware stesso.

Il malware utilizza canali di aggiornamento firmware legittimi sui dispositivi infetti per mantenere l’accesso ai sistemi compromessi iniettando codice dannoso e distribuendo immagini firmware aggiornate.
WatchGuard lavora a stretto contatto con FBI, CISA e NCSC e ha fornito strumenti e linee guida per rilevare e rimuovere Cyclops Blink sui dispositivi WatchGuard attraverso un processo di aggiornamento “personalizzato”.