Циклоп Блинк

Вредоносное ПО, создающее ботнеты и атакующее сетевое оборудование

Cyclops Blink — вредоносный исполняемый файл Linux ELF , скомпилированный для 32-битной архитектуры PowerPC ( big endian ). Он нацелен на маршрутизаторы и устройства брандмауэров от WatchGuard и ASUS и добавляет их в ботнет для управления и контроля (C&C). Сообщается, что вредоносное ПО исходит от хакерской группы Sandworm . ^[1]

Заражение происходит через эксплойт с кодом CVE-2022-23176, который позволяет повысить привилегии для получения возможности управления устройством. ^[2] После заражения устройство действует как сервер управления и контроля, а его программная архитектура позволяет устанавливать дополнительные модули и обеспечивает устойчивость к обновлениям прошивки .

История

Вредоносное ПО существует по крайней мере с июня 2019 года.

Впервые о Cyclops Blink стало известно в феврале 2022 года после того, как Национальный центр кибербезопасности Великобритании (NCSC) и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовали рекомендации по безопасности, в которых подробно описывалось его присутствие в дикой природе.

Тысячи маршрутизаторов были очищены. ^[3] Хотя Sandworm атаковал украинские активы в прошлом, вредоносная программа не была нацелена на украинское сетевое оборудование и, как полагают, не связана с российско-украинской войной . ^{[4] [5] [6] [7] [8]}

Ссылки

1. "Cyclops Blink" (PDF) . Национальный центр кибербезопасности .
2. «Портал безопасности — Угроза». securityportal.watchguard.com .
3. Конгер, Кейт; Сэнгер, Дэвид Э. (6 апреля 2022 г.). «США заявляют, что тайно удалили вредоносное ПО по всему миру, предотвратив российские кибератаки». The New York Times . Архивировано из оригинала 7 апреля 2022 г.
4. Гринберг, Энди. «Российские хакеры-песчаные черви построили ботнет из брандмауэров». Wired . Получено 21 марта 2022 г.
5. Хаккеборд, Фейке; Хилт, Стивен; Мерсес, Фернандо (17 марта 2022 г.). «Cyclops Blink нацелился на маршрутизаторы Asus». Trend Micro Inc. Получено 21 марта 2022 г.
6. "Новый вредоносный песчаный червь Cyclops Blink заменяет VPNFilter". Агентство кибербезопасности и безопасности инфраструктуры . 23 февраля 2022 г. Получено 21 марта 2022 г.
7. Осборн, Чарли. «Российский ботнет Cyclops Blink начинает атаку на маршрутизаторы Asus». ZDNet . Получено 21.03.2022 .
8. Арнц, Питер (24.02.2022). «Вредоносное ПО Cyclops Blink: власти США и Великобритании предупреждают». Malwarebytes Labs . Получено 21.03.2022 .

Внешние ссылки

• Отчет NCSC по анализу вредоносного ПО
• Действия по обнаружению и устранению нарушений со стороны Watchguard