Gli hacker legati all’esercito russo stanno sfruttando le vulnerabilità della sicurezza nei firewall per compromettere le reti e infettarle con malware, consentendo loro di accedere da remoto. Un avviso del National Cyber Security Center (NCSC), della Cybersecurity and Infrastructure Security Agency (CISA), della National Security Agency (NSA) e del Federal Bureau of Investigation (FBI) ha dettagliato il nuovo malware, Cyclops Blink, attribuendolo a Sandworm, un’operazione di hacking offensivo.
Cyclops Blink sembra essere un sostituto di VPNFilter, malware utilizzato da gruppi di hacker russi collegati allo stato in attacchi diffusi utilizzati per compromettere i dispositivi di rete, principalmente router, al fine di accedere alle reti.
Secondo NCSC, CISA, FBI e NSA, Cyclops Blink è attivo almeno da giugno 2019 e, come VPNFilter prima, il targeting è descritto come “indiscriminato e diffuso” con la possibilità di ottenere un accesso remoto persistente alle reti. Può anche caricare e scaricare file da macchine infette ed è modulare, consentendo di aggiungere nuove funzionalità a malware già in esecuzione.
Gli attacchi informatici si concentrano principalmente sui dispositivi firewall WatchGuard, ma le agenzie hanno avvertito che Sandworm è in grado di riutilizzare il malware per diffonderlo tramite altre architetture e firmware.
Come funziona questo nuovo malware
Cyclops Blink persiste al riavvio e durante il processo di aggiornamento del firmware. Si rivolge ai dispositivi WatchGuard che sono stati riconfigurati dalle impostazioni predefinite del produttore per aprire le interfacce di gestione remota all’accesso esterno. Un’infezione non significa che l’organizzazione sia l’obiettivo principale, ma è possibile che le macchine infette possano essere utilizzate per condurre ulteriori attacchi.
L’NCSC esorta le organizzazioni interessate ad adottare misure per rimuovere il malware, che sono state descritte in dettaglio da WatchGuard. “Lavorando a stretto contatto con FBI, CISA, DOJ e NCSC del Regno Unito, WatchGuard ha studiato e sviluppato una soluzione per Cyclops Blink, una sofisticata botnet sponsorizzata dallo stato, che potrebbe aver interessato un numero limitato di dispositivi firewall WatchGuard“, ha affermato un WatchGuard dichiarazione. “I clienti e i partner di WatchGuard possono eliminare la potenziale minaccia rappresentata da attività dannose dalla botnet attuando immediatamente il piano di diagnosi e riparazione di Cyclops Blink in 4 fasi di WatchGuard“, ha aggiunto.
L’NCSC ha avvertito che qualsiasi password presente su un dispositivo infetto da Cyclops Blink dovrebbe essere considerata compromessa e dovrebbe essere modificata. Altri consigli sulla protezione delle reti dagli attacchi informatici includono evitare l’esposizione delle interfacce di gestione dei dispositivi di rete a Internet, mantenere i dispositivi aggiornati con le ultime patch di sicurezza e utilizzare l’autenticazione a più fattori.
L’NCSC rileva che l’avviso non è direttamente collegato all’attuale situazione in Ucraina.
