ABD hükümet yetkilileri bugün, Rus destekli Sandworm hack grubuyla bağlantılı Cyclops Blink botnetinin saldırılarda kullanılmadan önce kesintiye uğradığını duyurdu.
Sandworm tarafından bu botnet’i oluşturmak için en az Haziran 2019’dan beri kullanılan kötü amaçlı yazılım, WatchGuard Firebox güvenlik duvarı cihazlarını hedefleme ve birden fazla ASUS yönlendirici modeli.
Cyclops Blink, saldırganların aygıt yazılımı güncellemeleri aracılığıyla aygıtta kalıcılık oluşturmasını sağlayarak, güvenliği ihlal edilmiş ağlara uzaktan erişim sağlar.
Bu kötü amaçlı yazılım modülerdir ve yeni cihazları hedeflemek için yükseltmeyi ve sömürülebilir yeni donanım havuzlarından yararlanmayı kolaylaştırır.
“Bugün açıklıyoruz [..] ABD Başsavcısı Merrick Garland, “GRU olarak bilinen Rus askeri istihbarat teşkilatı tarafından kontrol edilen küresel bir botnet’in bozulması” dedi.
“Rus hükümeti yakın zamanda Ukrayna hedeflerine saldırmak için benzer bir altyapı kullandı. Neyse ki bu botnet’i kullanılmadan önce bozabildik.
“Uluslararası ortaklarla yaptığımız yakın çalışma sayesinde, binlerce ağ donanımı cihazına bulaştığını tespit edebildik. Daha sonra, botnet silahlandırılmadan önce GRU’nun bu cihazlar üzerindeki kontrolünü devre dışı bırakabildik.”
Virüs bulaşmış Watchguard ve Asus cihazlarından kötü amaçlı yazılım kaldırıldı
Bu ABD Adalet Bakanlığı operasyonunun 18 Mart’taki ilk mahkeme iznini takiben, kötü amaçlı yazılım, kalan tüm tanımlanmış C2 cihazlarından kaldırıldı.
FBI ayrıca Cyclops Blink kötü amaçlı yazılımını kaldırmadan önce ABD’deki ve yurtdışındaki güvenliği ihlal edilmiş cihaz sahiplerini yabancı kanun uygulayıcı ortaklar aracılığıyla bilgilendirdi. İletişim bilgileri bulunamayan ABD’li kurbanlar, FBI tarafından yayınlanan bildirimlerin ardından sağlayıcıları tarafından temasa geçildi.
FBI Direktörü Chris Wray, kötü amaçlı yazılımı analiz ederken ve algılama araçları ve iyileştirme teknikleri geliştirirken Watchguard ile yakın işbirliğinin ardından botnet’in bozulduğunu söyledi.
“İlerlerken, bot görevi gören tüm Firefox cihazlarının, sahipleri tarafından azaltılana kadar gelecekte hala savunmasız kalabileceği konusunda uyarmalıyım. Bu nedenle, bu sahipler yine de devam etmeli ve Watchguard’ın algılama ve iyileştirme adımlarını mümkün olan en kısa sürede benimsemelidir. FBI Direktörü Chris Wray ekledi.
“Sandworm, bilgi işlem güçlerini, ağı gerçekten kimin çalıştırdığını gizleyecek ve kötü amaçlı yazılım başlatmalarına veya GRU’nun Ukrayna’ya saldırmak için kullandığı gibi dağıtılmış hizmet reddi saldırılarını düzenlemelerine izin verecek şekilde kullanmaları için bir araya getirdi.”
WatchGuard, hükümetin kötü amaçlı yazılımı ifşa etmesinin ardından ortaklarını ve müşterilerini korumak için hızlı algılama ve iyileştirme araçlarının piyasaya sürülmesiyle ve ABD Adalet Bakanlığı ile işbirliği yaparak Cyclops Blink’in oluşturduğu tehdidi ortadan kaldırmada önemli bir rol oynadı. botnet’i bozmak. Şirketin iş ortağı ve müşteri topluluklarıyla yakın işbirliği, WatchGuard cihazlarının %1’inden daha azını etkileyen, devlet destekli bu karmaşık tehdidin azaltılmasında etkili oldu. — WatchGuard sözcüsü
Sandworm Rus destekli tehdit grubu
kum solucanı Cyclops Blink botnet’in arkasındaki grup (aynı zamanda Voodoo Bear, BlackEnergy ve TeleBots olarak da takip edilir), 2000’lerin ortalarından beri aktif olan Rus sponsorluğundaki bir hack grubudur.
Operatörlerinin, Rus GRU’nun Özel Teknolojiler Ana Merkezi’nin (GTsST) 74455 Biriminin Rus askeri hackerları olduğuna inanılıyor.
Sandworm, 2015 ve 2016’da Ukrayna’daki elektrik kesintilerinin arkasındaki BlackEnergy kötü amaçlı yazılımıyla bağlantılıydı [1, 2, 3], KillDisk silecek saldırıları Ukrayna bankalarına karşı ve son derece yıkıcı NotPetya fidye yazılımı Haziran 2017’den itibaren dünya çapındaki şirketlere milyarlarca dolar zarar vermek için kullanıldı.
Mandiant İstihbarat Analizi Başkan Yardımcısı John Hultquist, BleepingComputer’a verdiği demeçte, “Sandworm, Rusya’nın önde gelen siber saldırı yeteneği ve işgalin ışığında en çok endişe duyduğumuz aktörlerden biri” dedi.
“Ukrayna’daki hedefleri vurmak için kullanılabileceklerinden endişe duyuyoruz, ancak Rusya’ya uygulanan baskının intikamını almak için Batı’daki hedefleri vurabileceklerinden de endişe duyuyoruz.”