O que é Cyclops Blink?
Em fevereiro de 2022, organizações de segurança cibernética e de aplicação da lei dos EUA e do Reino Unido publicaram um relatório conjunto sobre um novo tipo de malware descoberto. Cyclops Blink é uma botnet patrocinada pelo estado que afetou vários roteadores e dispositivos de firewall criados pela WatchGuard e Asus.
De acordo com a investigação, o Cyclops Blink pertence ao Sandworm, um notório grupo de hackers ligado ao governo russo. O Sandworm tem como alvo muitas vítimas, incluindo organizações governamentais, empresas de energia, empresas de telecomunicações, instituições acadêmicas e infraestrutura crítica. Suas operações se estenderam por diferentes regiões, com alvos notáveis na Ucrânia, Europa e EUA.
A origem e o desenvolvimento do Ciclope Blink
As raízes do Cyclops Blink remontam a 2018, quando agências de inteligência nos EUA confirmaram a existência do malware VPNFilter. Vamos dar uma olhada em ambos os programas maliciosos.
Uma explicação detalhada do Cyclops Blink
Cyclops Blink é um malware modular, tornando-se uma ameaça avançada. O malware modular ataca um sistema em diferentes estágios. Em vez de vir como uma bola de demolição pela porta da frente, ele primeiro instala apenas componentes essenciais. Pense nesses componentes como olheiros que analisam o sistema e suas vulnerabilidades.
Após a detecção inicial, o malware modular entra com força total. No caso do Cyclops Blink, a infecção acontece explorando o código do sistema, o que permite um escalonamento de privilégios. Esse malware assume o controle do dispositivo. O Cyclops Blink começa a atuar como um servidor de comando e controle. Seu design de software modular permite que esse malware seja resiliente a atualizações de firmware. Isso significa que eliminá-lo não é fácil e os dispositivos podem permanecer vulneráveis por muito tempo.
Link para o malware VPNFilter
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) descrevem o Cyclops Blink como beneficiário de outra ferramenta Sandworm, VPNFilter. Este malware infectou mais de meio milhão de roteadores para formar uma botnet global. Em 2018, a Cisco e o FBI conseguiram identificá-lo e desmontar o malware VPNFilter.
No entanto, nunca desapareceu completamente. De acordo com as agências de inteligência, em vez de atualizar o VPNFilter, o grupo Sandworm preferiu criar uma nova ferramenta. É provavelmente por isso que Cyclops Blink surgiu.
O Sandworm implantou o VPNFilter em diferentes estágios, com a maioria das funcionalidades aparecendo no terceiro estágio. Os módulos desta etapa permitiram a manipulação do tráfego e a demolição do dispositivo host infectado e provavelmente permitiram a exploração de dispositivos a jusante.
Quais dispositivos o Cyclops Blink tem como alvo principal?
A CISA e a NCSC descobriram que os dispositivos subjacentes às vítimas em todo o mundo eram pequenos dispositivos de escritório/home office (SOHO) da WatchGuard (aparelhos WatchGuard Firebox). O Cyclops Blink vem atacando os dispositivos de firewall da WatchGuard desde pelo menos junho de 2019.
Outra versão deste malware tem como alvo dispositivos Asus. Ele é capaz de ler a memória flash de um roteador para coletar informações sobre arquivos críticos, executáveis, dados e bibliotecas. Cyclops Blink então recebe um comando para aninhar na memória flash e estabelecer persistência permanente.
Embora a pesquisa tenha revelado que os clientes empresariais eram um alvo mais provável do Cyclops Blink, é difícil dizer como os atacantes escolhem seus alvos. O malware provavelmente atacou os dispositivos mais vulneráveis para criar uma botnet que poderia realizar ataques ainda maiores no futuro.
O impacto do Cyclops Blink na segurança da rede
O malware Cyclops Blink é uma séria ameaça à segurança de qualquer rede. Suponha que o malware consiga infectar um dispositivo. Nesse caso, o Cyclops Blink pode comandar e controlá-lo para realizar ataques como ataques distribuídos de negação de serviço (DDoS) ou roubo de dados, bem como enviar mensagens de spam.
A resistência do Cyclops Blink aos mecanismos de defesa faz dele uma dor de cabeça para todos os desenvolvedores de software. Desde que esse malware veio à tona, a Asus e a WatchGuard trabalharam em estreita colaboração com os investigadores para criar as atualizações de proteção necessárias.
Quem está por trás da botnet Cyclops Blink?
A investigação conjunta do FBI, da CISA, do Departamento de Justiça dos EUA e do Centro Nacional de Segurança Cibernética do Reino Unido revelou que o ator malicioso conhecido como Sandworm ou Voodoo Bear é responsável pela botnet Cyclops Blink.
O grupo Sandworm atacou empresas e agências governamentais ucranianas em várias ocasiões. Eles também foram responsáveis por destruir redes ucranianas inteiras e realizar ataques contra os Jogos Olímpicos de Inverno em 2018, bem como muitos outros atos malignos. O Voodoo Bear continua sendo um dos grupos de hackers mais perigosos do mundo.
Etapas de correção e estratégias de prevenção para o Cyclops Blink
Desde que o Cyclops Blink se tornou aparente, a WatchGuard e a Asus tomaram as precauções necessárias para proteger seus usuários. Enquanto a Asus lançou algumas atualizações de segurança para evitar um ataque ao roteador, a WatchGuard criou um conjunto de ferramentas de detecção e correção do Cyclops Blink e um plano para ajudar os clientes a diagnosticar e evitar infecções futuras.
O plano consiste em quatro etapas: diagnosticar, remediar, prevenir e investigar. Vamos dar uma breve olhada em todos eles.
Como diagnosticar Cyclops Blink
O WatchGuard tem três ferramentas para ajudar a diagnosticar se o malware Sandworm afetou seu Firebox: Cyclops Blink Web Detector, WatchGuard System Manager Cyclops Blink Detector e WatchGuard Cloud Cyclops Blink Detector. Use-os para proteger seu software.
Como corrigir seu software Firebox
- Os dispositivos WatchGuard infectados devem estar no modo de recuperação se você quiser corrigir a ameaça. Em seguida, você deve usar o Assistente de Configuração Rápida do WSM para atualizar para a versão mais recente do Fireware.
- Após a correção, a única maneira de garantir que um dispositivo não seja infectado novamente é criar um novo arquivo de configuração.
- Para concluir a correção, você deve ter acesso físico ao Firebox. Se você não conseguir obtê-lo, você pode usar modelos RapidDeploy ou WatchGuard Cloud para começar a trabalhar em um novo arquivo de configuração ou definições de configuração.
Como prevenir a infecção por Cyclops Blink
- Se o Firebox foi infectado ou não, é crucial executar a versão mais recente do Fireware no seu Firebox.
- Planejar a atualização das senhas “status” e “admin” do Firebox regularmente também é essencial. Você deve ter senhas exclusivas para cada Firebox que gerencia e alterá-las com frequência.
- Verifique se as políticas que controlam o gerenciamento de firewall não permitem acesso irrestrito à Internet.
Investigar a infecção Cyclops Blink
Se você suspeitar que o malware Sandworm infectou seu Firebox, use as etapas descritas acima para conduzir uma investigação forense de sua rede e protegê-la de infecções futuras.
