Правительства Великобритании и США предупреждают о недавно задокументированных вредоносных программах, которые атакуют маршрутизаторы SOHO, брандмауэры и устройства NAS.
Американское агентство CISA назвало вредоносное ПО Cyclops Blink российским ГРУ (Главное разведывательное управление Генштаба в Москве), поскольку вредоносное ПО заменяет VPNFilter, ранее находившийся в ведении ГРУ.
До сих пор новое вредоносное ПО было замечено только на межсетевых экранах WatchGuard Firebox и только в том случае, если пользователи изменили настройки по умолчанию, чтобы разрешить удаленный доступ к интерфейсам управления маршрутами.
Компания заявляет , что Cyclops Blink заразил 1 процент активных брандмауэров, и пока что ей не известно об утечке данных ни от WatchGuard, ни от ее клиентов.
WatchGuard опубликовал инструмент обнаружения Cyclops Blink вместе с инструкциями по исправлению.
Как поясняет NCSC: «Само вредоносное ПО является сложным и модульным с базовыми функциями ядра, чтобы передавать информацию об устройстве обратно на сервер и обеспечивать загрузку и выполнение файлов».
Вредоносное ПО устанавливается в виде обновления прошивки, при этом скомпрометированные брандмауэры передаются под контроль сети управления и контроля.
CISA пояснила: «Устройства-жертвы организованы в кластеры, и каждое развертывание Cyclops Blink имеет список IP-адресов и портов управления и контроля (C2), которые оно использует. Все известные на сегодняшний день IP-адреса C2 использовались скомпрометированными устройствами брандмауэра WatchGuard.
NCSC Англии (часть GCHQ, которая работала с CISA над анализом Cyclops Blink) выпустила технический анализ ( PDF ) вредоносного ПО, как и АНБ (PDF).
В этом документе поясняется, что Cyclops Blink — это исполняемый файл Linux, скомпилированный для 32-битной архитектуры PowerPC, которую WatchGuard в основном использует для младших устройств.
Коммуникации управления и контроля используют «специальный двоичный протокол TLS», а сообщения шифруются индивидуально.
В CISA заявили, что если пользователь обнаружит инфекцию Cyclops Blink, он должен «предполагать, что любые пароли, присутствующие на устройстве, были скомпрометированы, и заменить их», а также «убедиться, что интерфейс управления сетевыми устройствами не подвергается воздействию Интернета».
Песчаный червь, также известный как Voodoo Bear, был активен в течение нескольких лет и был связан с слежкой за НАСА и другими организациями через ошибку в Windows, атаки 2018 года на украинские энергетические и транспортные компании и эксплойт 2020 года для сообщения электронной почты EXIM. трансферный агент.
Ричард Чиргвин, 24 февраля 2022 г.