FBI, NSA, CISA, NCSC, britiske og amerikanske organisasjoner advarer nå mot en ny hackertrend som retter seg mot brannmurenheter. Det er den såkalte Sandworm-hackinggruppen som står bak de nye angrepene. En organisasjon med opprinnelse i Russland, og som angivelig ligger under russiske GRU.
Hackere knyttet til det russiske militæret utnytter sårbarheter i brannmurer for å kompromittere nettverk samt infisere nettverkene med skadelig programvare. På den måten kan hackerne få ekstern tilgang.
Den nye skadevaren går under navnet Cyclops Blink som tilskrives organisasjonen Sandworm (angivelig tilknyttet russisk GRU). I en analyse fra National Cyber Security Center (NCSC) kommer det fram at Cyclops blink er et sofistikert stykke malware som har blitt utviklet profesjonelt.
Cyclops Blink ser ut til å være en erstatning for et malware som ble utviklet noen år tilbake som går under navnet VPNFilter. Dette var skadelig programvare som ble brukt av statstilknyttede russiske hackergrupper for å kompromittere nettverksenheter. Etter at nettverksenhetene ble kompromittert, som var hovedsakelig rutere, så kunne hackerne få tilgang til nettverk.
Cyclops Blink aktivt i lang tid
I følge FBI, NSA, CISA og NCSC, så skal Cyclops Blink ha vært aktivt siden juni 2019 (minst). Muligheten skal ha vært tilstede for å få vedvarende tilgang til nettverk, og målrettingen for angrepene skal ha vært «vilkårlig og utbredt».
Cyclops Blink lar også hackerne laste opp og ned filer fra infiserte maskiner. Ny funksjonalitet skal visstnok kunne legges til skadelig programvare som allerede kjører.
Disse cyberangrepene som er knyttet til Sandworm skal først og fremst fokusere på Watchguard brannmurenheter, men malwaret har mulighet til å «omformere seg» til å spres via annen arkitektur samt fastvare.
Cyclops Blink eksisterer fortsatt ved omstart, og selv gjennom oppdateringer. Dersom en organisasjon blir infisert, så betyr ikke det at organisasjonen er det primære målet. Infiserte maskiner kan muligens brukes til å utføre ytterligere angrep.
NCSC anbefaler skritt mot å fjerne skadelig programvare
NCSC anbefaler organisasjoner til å ta skritt som fjerner skadelig programvare. Dette er beskrevet av Watchguard hvordan det skal gjøres.
I en uttalelse fra Watchguard kommer det fram at: «Ved å jobbe tett sammen med FBI, DOJ, CISA og UK NCSC har Watchguard undersøkt og utviklet en utbedring for Cyclops Blink, som før øvrig er et statlig sponset botnett, som kan ha påvirket et begrenset antall brannmurer fra Watchguard».
Dersom en Watchguard-enhet blir hacket, så kan trusselen elimineres ved å iverksette WatchGuards 4-trinn Cyclops Blink Diagnosis and Remdiation Plan.
NCSC advarte mot at passord som finnes på infiserte enheter mest trolig er kompromittert, og bør derfor endres.
Andre råd for å beskytte nettverk mot Cyclops Blink innebærer å unngå at administrasjonsgrensesnitt for nettverksenheter blir eksponert for Internett. Dessuten bør man passe på at enhetene alltid er oppdatert med de nyeste sikkerhetsoppdateringene og i tillegg bruke multifaktorautentisering.
