Resim: Artem Kovalev
Cyclops Blink adlı yeni kötü amaçlı yazılım, bugün ABD ve İngiltere siber güvenlik ve kolluk kuvvetleri tarafından yayınlanan ortak bir güvenlik danışma belgesinde Rus destekli Sandworm hack grubuyla ilişkilendirildi.
Sandworm operatörleri tarafından en az Haziran 2019’dan beri bir botnet oluşturmak için kullanılan kötü amaçlı yazılım, WatchGuard Firebox ve diğer Küçük Ofis/Ev Ofisi (SOHO) ağ cihazlarını hedefliyor.
İngiltere Ulusal Siber Güvenlik Merkezi, “Cyclops Blink adlı kötü amaçlı yazılım, 2018’de ortaya çıkan VPNFilter kötü amaçlı yazılımının yerini alıyor gibi görünüyor ve dağıtımı, Sandworm’un ağlara uzaktan erişmesine izin verebilir.” dedim bugün.
İngiltere NCSC, bugün yine yayınlanan bir kötü amaçlı yazılım analiz raporuna “Cyclops Blink, 32-bit PowerPC (big-endian) mimarisi için derlenmiş, kötü niyetli bir Linux ELF yürütülebilir dosyasıdır” dedi.
Ürün yazılımı güncellemeleri yoluyla kalıcılık
NCSC, FBI, CISA ve NSA analizine göre, kötü amaçlı yazılım ayrıca komut ve kontrol sunucusuna dosya yüklemek/indirmek, cihaz bilgilerini toplamak ve çıkarmak ve kötü amaçlı yazılımı güncellemek için özel olarak geliştirilmiş modüllerle birlikte gelir.
Cyclops Blink, kötü amaçlı kod enjekte ederek ve değiştirilen ürün yazılımı görüntülerini yeniden paketleyerek güvenliği ihlal edilmiş sistemlere erişimi sürdürmek için virüslü cihazların meşru ürün yazılımı güncelleme kanallarını kullanır.
NCSC, “Geliştiriciler, WatchGuard Firebox bellenim güncelleme sürecini açıkça tersine çevirdi ve bu süreçte belirli bir zayıflık, yani bir bellenim güncelleme görüntüsünü doğrulamak için kullanılan HMAC değerini yeniden hesaplama yeteneği belirlediler” diye ekliyor.
“Meşru ürün yazılımı güncelleme süreci boyunca Cyclops Blink’in kalıcılığını korumalarını sağlamak için bu zayıflıktan yararlandılar.”
Sandworm tehdit grubu
kum solucanı (aynı zamanda Voodoo Bear, BlackEnergy ve TeleBots olarak da takip edilir) 2000’lerin ortalarından beri aktif olan Rus sponsorluğundaki seçkin bir siber casusluk grubudur.
Üyelerinin, Rus GRU’nun Ana Özel Teknolojiler Merkezi’nin (GTsST) 74455 Biriminin askeri hackerları olduğuna inanılıyor.
Bu bilgisayar korsanlığı grubu, 2015 ve 2016 yıllarında Ukrayna’da yaşanan kesintilerin arkasındaki BlackEnergy kötü amaçlı yazılımıyla bağlantılı. [1, 2, 3]ayrıca KillDisk silecek saldırıları Ukrayna bankalarını hedef aldı.
Kum kurdu da geride NotPetya fidye yazılımı Haziran 2017’den başlayarak dünya çapındaki şirketlere tahmini milyarlarca değer zarar verdi.
Ekim 2020’de ABD Adalet Bakanlığı altı Sandworm ajanını suçladı PyeongChang 2018 Kış Olimpiyatları, 2017 Fransa seçimleri ve NotPetya fidye yazılımı saldırısı ile ilgili bilgisayar korsanlığı faaliyetleri için.
Grup ayrıca Fransız ulusal siber güvenlik kurumu ANSSI tarafından da bağlantılıydı. Fransız şirketlerinin ağlarına yönelik Centreon tedarik zinciri saldırısı ve birden fazla Fransız BT sağlayıcısının ihlali Şubat 2021’de.
Sandworm’un Cyclops Blink kötü amaçlı yazılımı hakkında, tehlike göstergeleri ve Yara kuralları ve imzaları dahil olmak üzere ek bilgiler, NCSC’nin kötü amaçlı yazılım analiz raporunun sonunda mevcuttur. [PDF].