EUA e do Reino Unido alertam sobre nova botnet russa

Malware Cyclops Blink explora dispositivos de rede, principalmente roteadores de pequenos escritórios e dispositivos NAS, dizem as agências de inteligência dos dois países
Da Redação
25/02/2022

Agências de inteligência do Reino Unido e dos EUA divulgaram detalhes de um novo malware de botnet chamado Cyclops Blink, atribuído ao grupo de hackers Sandworm apoiado pela Rússia, que vem sendo implantado em ataques desde 2019.

“O Cyclops Blink parece ser uma estrutura de substituição para o malware VPNFilter descoberto em 2018, que explorou dispositivos de rede, principalmente roteadores de pequenos escritórios e home office e dispositivos de armazenamento conectado à rede (NAS)”, disseram as agências. “Em comum com o VPNFilter, a implantação do Cyclops Blink também parece indiscriminada e generalizada.”

O alerta conjunto vem do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, da Agência de Segurança Cibernética e Infraestrutura (CISA), da Agência de Segurança Nacional (NSA) e do FBI nos EUA.

O Sandworm, também conhecido como Voodoo Bear, é o nome atribuído a um grupo hacker altamente avançado que opera na Rússia e que está ativo desde ao menos 2008. O grupo de hackers mostrou um foco particular em atacar entidades na Ucrânia e é acusado de estar por trás do ataques no setor de energia que causaram quedas de energia generalizadas no final de 2015.

Em outubro de 2020, o operador da ameaça foi formalmente vinculado à unidade militar 74455 da Direção Principal de Inteligência do Estado-Maior da Rússia (GRU) para Tecnologias Especiais (GTsST).

O VPNFilter foi documentado pela Cisco Talos pela primeira vez em maio de 2018, descrevendo-o como um “sistema de malware modular sofisticado” que compartilha sobreposições com o malware BlackEnergy do Sandworm e apresenta recursos para oferecer suporte à coleta de inteligência e operações destrutivas de ataque cibernético.

Descobriu-se que o malware de botnet IoT comprometeu mais de 500 mil roteadores em pelo menos 54 países, visando dispositivos da Linksys, MikroTik, NETGEAR e TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL e ZTE.

Neste mês, o governo dos EUA anunciou a apreensão e remoção de um domínio chave da internet usado para os ataques, pedindo aos proprietários de dispositivos home office e NAS que possam estar infectados que reiniciem seus dispositivos para interromper temporariamente o malware.

Em janeiro, uma análise da Trend Micro identificou “infecções residuais” que ainda permaneciam em milhares de redes anos depois de substituir o VPNFilter, mesmo quando o Sandworm optou simultaneamente por reequipar o malware em resposta a divulgações públicas.

Veja isso
43% dos roteadores no Brasil estão vulneráveis
Europol derruba VPN utilizada em ataques

Acredita-se que o Cyclops Blink, como o substituto é chamado, esteja em ação desde ao menos junho de 2019, focando principalmente nos dispositivos de firewall WatchGuard, embora as agências tenham dito que o malware poderia ser reaproveitado para atingir outras arquiteturas e firmware.

Ainda mais preocupante, a botnet é implantada como uma atualização falsa e é capaz de sobreviver a reinicializações e atualizações de firmware, com comunicações de comando e controle (C&C) facilitadas pela rede Tor.

“O malware em si é sofisticado e modular, com funcionalidade para enviar informações do dispositivo de volta a um servidor e permitir que os arquivos sejam baixados e executados”, observaram os pesquisadores. “Também há funcionalidade para adicionar novos módulos enquanto o malware está em execução, o que permite que o Sandworm implemente recursos adicionais conforme necessário.”

A WatchGuard, em um boletim independente, chamou de botnet patrocinado por Estado-nação que aproveitou uma vulnerabilidade de segurança previamente identificada no firmware Firebox como o vetor de acesso inicial. A deficiência foi finalmente resolvida em maio de 2021. “Com base nas estimativas atuais, o Cyclops Blink pode ter afetado aproximadamente 1% dos dispositivos ativos de firewall da WatchGuard”, disse a empresa. “Apenas os aparelhos que foram configurados para ter gerenciamento aberto à internet são vulneráveis ​​ao Cyclops Blink.”

A empresa recomenda aos clientes que sigam imediatamente as etapas descritas no plano de diagnóstico e correção de quatro etapas do Cyclops Blink para diagnosticar e eliminar a ameaça representada por uma potencial atividade maliciosa da botnet. Com agências de notícias internacionais.

Compartilhar:

Últimas Notícias