0
0
O Departamento de Justiça dos EUA anunciou que o FBI interrompeu o botnet Cyclops Blink, que eles dizem estar sob o controle do grupo Sandworm – um ator de ameaça que foi anteriormente atribuído à Direção principal de Inteligência do Estado-Maior das Forças Armadas da Federação Russa (GRU).
“A operação copiou e removeu malware de dispositivos de firewall vulneráveis conectados à Internet que o Sandworm usou para comando e controle (C2) da botnet subjacente. Embora a operação não envolvesse acesso ao malware Sandworm nos milhares de dispositivos de vítimas subjacentes em todo o mundo, chamados de ‘bots’, a desativação do mecanismo C2 cortou esses bots do controle dos dispositivos Sandworm C2”, afirmou o DOJ dos EUA.
O que aconteceu e o que os proprietários de dispositivos afetados devem fazer?
Detalhes sobre o Ciclope Blink foram compartilhados no final da Fabruary pela Agência de Segurança cibernética e infraestrutura dos EUA (CISA) e pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
O malware tinha como alvo dispositivos de rede (firewalls e roteadores) pelo WatchGuard e ASUS.
“Esses dispositivos de rede estão frequentemente localizados no perímetro da rede de computadores da vítima, fornecendo ao Sandworm a capacidade potencial de realizar atividades maliciosas contra todos os computadores dentro dessas redes”, afirmou o DOJ. Mas, de acordo com o procurador-geral Merrick B. Garland, eles foram capazes de desativar o controle da GRU sobre esses dispositivos antes que a botnet pudesse ser armada.
As duas agências consideram o malware um substituto para o malware VPNFilter, usado anteriormente pelo grupo Sandworm para amarrar vários dispositivos de rede em uma botnet.
Infelizmente, o malware Cyclops Blink não pode ser liberado de dispositivos infectados simplesmente reiniciando o dispositivo, de modo que os proprietários de dispositivos WatchGuard e ASUS são aconselhados a verificar se eles foram comprometidos e, se eles têm, para executar um conjunto de ações para limpar o dispositivo e prevenir uma infecção cyclops Blink em uma data posterior.
A orientação do WatchGuard sobre o que fazer pode ser encontrada aqui, e a ASUS está aqui.
O FBI acessou os dispositivos C2 domésticos para copiar e remover o malware, mas forneceu aviso aos proprietários de sua ação (conforme exigido pelo tribunal). Eles também fecharam as portas de gerenciamento externas que a Sandworm estava usando para acessar esses dispositivos C2 – “uma mudança que o proprietário de um dispositivo afetado pode reverter através de uma reinicialização do dispositivo”.
“A operação anunciada hoje aproveitou as comunicações diretas com o malware Sandworm nos dispositivos C2 identificados e, além de coletar os números de série dos dispositivos C2 subjacentes através de um script automatizado e copiar o malware C2, ele não pesquisou ou coletou outras informações das redes de vítimas relevantes. Além disso, a operação não envolveu nenhuma comunicação do FBI com dispositivos bot”, afirmou o DOJ.
“Desde antes do aviso de 23 de fevereiro, o FBI vem tentando fornecer aviso aos proprietários de dispositivos WatchGuard infectados nos Estados Unidos e, através de parceiros de aplicação da lei estrangeiros, no exterior. Para aquelas vítimas domésticas cujas informações de contato não estavam disponíveis publicamente, o FBI entrou em contato com provedores (como o provedor de serviços de internet da vítima) e pediu a esses provedores que fornecessem aviso às vítimas.”
FONTE: HELPNET SECURITY