Cyclops Blink в обращении с 2019 года
- 09 Apr 2023
- Системы безопасности - все виды
- 466 Прочтений
- 0 Комментариев
Правительства Великобритании и США предупреждают о недавно задокументированных вредоносных программах, которые атакуют маршрутизаторы SOHO, брандмауэры и устройства NAS.
Американское агентство CISA назвало вредоносное ПО Cyclops Blink российским ГРУ (Главное разведывательное управление Генштаба в Москве), поскольку вредоносное ПО заменяет VPNFilter, ранее находившийся в ведении ГРУ.
По данным силовых структур, вредоносное ПО активно с июня 2019 года.
До сих пор новое вредоносное ПО было замечено только на межсетевых экранах WatchGuard Firebox и только в том случае, если пользователи изменили настройки по умолчанию, чтобы разрешить удаленный доступ к интерфейсам управления маршрутами.
Компания заявляет , что Cyclops Blink заразил 1 процент активных брандмауэров, и пока что ей не известно об утечке данных ни от WatchGuard, ни от ее клиентов.
WatchGuard опубликовал инструмент обнаружения Cyclops Blink вместе с инструкциями по исправлению.
Как и VPNFilter, Cyclops Blink представляет собой модульную систему.
Как поясняет NCSC: «Само вредоносное ПО является сложным и модульным с базовыми функциями ядра, чтобы передавать информацию об устройстве обратно на сервер и обеспечивать загрузку и выполнение файлов».
Вредоносное ПО устанавливается в виде обновления прошивки, при этом скомпрометированные брандмауэры передаются под контроль сети управления и контроля.
CISA пояснила: «Устройства-жертвы организованы в кластеры, и каждое развертывание Cyclops Blink имеет список IP-адресов и портов управления и контроля (C2), которые оно использует. Все известные на сегодняшний день IP-адреса C2 использовались скомпрометированными устройствами брандмауэра WatchGuard.
NCSC Англии (часть GCHQ, которая работала с CISA над анализом Cyclops Blink) выпустила технический анализ ( PDF ) вредоносного ПО, как и АНБ (PDF).
В этом документе поясняется, что Cyclops Blink — это исполняемый файл Linux, скомпилированный для 32-битной архитектуры PowerPC, которую WatchGuard в основном использует для младших устройств.
Коммуникации управления и контроля используют «специальный двоичный протокол TLS», а сообщения шифруются индивидуально.
В CISA заявили, что если пользователь обнаружит инфекцию Cyclops Blink, он должен «предполагать, что любые пароли, присутствующие на устройстве, были скомпрометированы, и заменить их», а также «убедиться, что интерфейс управления сетевыми устройствами не подвергается воздействию Интернета».
Песчаный червь, также известный как Voodoo Bear, был активен в течение нескольких лет и был связан с слежкой за НАСА и другими организациями через ошибку в Windows, атаки 2018 года на украинские энергетические и транспортные компании и эксплойт 2020 года для сообщения электронной почты EXIM. трансферный агент.
Ричард Чиргвин, 24 февраля 2022 г.
Letzte Kommentare
Кроме того, этот сильн...
А в мире вообще жесть!...
Мало иметь армию и фло...
Чё бы написал? Самсы м...
Был там, случайно сове...
Artikel
А вот интересная шахма...
Внимание! Это всего ли...
Это ничего, что январь...
Краткая справка Янв...
Опасен для сердца С...
Fotos
Кто родился? 4 янва...
Интересно 5 января ...
Стали известны подробн...
Обнародованы пикантные...
На крыше одной из гост...
Eigene Seiten
Пробовал и не раз... и...
Плохо питаются... сами...
Но до февраля нам еще ...
Почему-то не могу дозв...
Ну за это на том свете...