El Departamento de Justicia de EE. UU. (DoJ) anunció que neutralizó Cyclops Blink , una botnet modular controlada por un actor de amenazas conocido como Sandworm, que ha sido atribuida a la Dirección Principal de Inteligencia del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU). ).
«La operación copió y eliminó el malware de los dispositivos de firewall vulnerables conectados a Internet que Sandworm usó para el comando y control (C2) de la botnet subyacente», dijo el Departamento de Justicia en un comunicado el miércoles.
Además de interrumpir su infraestructura C2, la operación también cerró los puertos de administración externos que el actor de amenazas usó para establecer conexiones con los dispositivos de firewall, cortando efectivamente el contacto y evitando que el grupo de piratas informáticos use los dispositivos infectados para apoderarse de la red de bots.
La interrupción autorizada por la corte del 22 de marzo de Cyclops Blink se produce poco más de un mes después de que las agencias de inteligencia en el Reino Unido y los EE . UU. describieran la botnet como un marco de reemplazo para el malware VPNFilter que fue expuesto y hundido en mayo de 2018 .
Cyclops Blink, que se cree que surgió en junio de 2019, se centró principalmente en los dispositivos de firewall WatchGuard y los enrutadores ASUS, y el grupo Sandworm aprovechó una vulnerabilidad de seguridad previamente identificada en el firmware Firebox de WatchGuard como un vector de acceso inicial.
Un análisis de seguimiento realizado por la firma de ciberseguridad Trend Micro el mes pasado sugirió la posibilidad de que la botnet sea un intento de «construir una infraestructura para nuevos ataques a objetivos de alto valor».
«Estos dispositivos de red a menudo se ubican en el perímetro de la red informática de la víctima, lo que proporciona a Sandworm la capacidad potencial de realizar actividades maliciosas contra todas las computadoras dentro de esas redes», agregó el Departamento de Justicia.
Los detalles de la falla de seguridad nunca se hicieron públicos más allá del hecho de que la compañía abordó el problema como parte de las actualizaciones de software emitidas en mayo de 2021, y WatchGuard señaló por el contrario que los problemas se detectaron internamente y que no se «encontraron activamente en el salvaje.»
Desde entonces, la compañía revisó sus preguntas frecuentes sobre Cyclops Blink para explicar que la vulnerabilidad en cuestión es CVE-2022-23176 (puntaje CVSS: 8.8), que podría «permitir que un usuario sin privilegios con acceso a la administración de Firebox se autentique en el sistema como administrador». » y obtener acceso remoto no autorizado.
ASUS, por su parte, ha lanzado parches de firmware a partir del 1 de abril de 2022 para bloquear la amenaza, recomendando a los usuarios actualizar a la última versión.
