El Departamento de Justicia de EE. UU. (DoJ), en cooperación con el FBI y varias otras agencias, ha interrumpido con éxito la operación de una botnet rusa utilizada por las agencias de inteligencia de Moscú para distribuir el llamado malware Cyclops Blink.
El malware Cyclops Blink apuntó al firewall de WatchGuard y a los dispositivos de enrutador posteriores de Asus, usándolos como infraestructura de comando y control (C2) para una red de bots subyacente. Era una herramienta del Servicio Principal de Inteligencia de Rusia (GRU) y utilizada por el conocido grupo de amenazas persistentes avanzadas (APT) Sandworm (también conocido como Voodoo Bear).
El sucesor de un malware de gusano de arena anterior llamado VPNFilter, Cyclops Blink, era particularmente peligroso porque se dirigía específicamente a los firewalls perimetrales de la red. Por lo tanto, cuando se explotaba con éxito, Sandworm permitía realizar actividades maliciosas en todas las computadoras ubicadas detrás del firewall.
Sin embargo, es importante tener en cuenta que, en el caso de WatchGuard, solo apuntó a dispositivos que habían sido reconfigurados a partir de sus sesiones predeterminadas de fábrica para permitir el acceso externo a las interfaces de administración remota, presumiblemente menos del 1% de la base instalada de la empresa.
Su existencia fue confirmada el 23 de febrero de 2022, pocas horas antes de que Rusia comenzara su ataque contra Ucrania, en una evaluación conjunta del Centro Nacional de Seguridad Cibernética (NCSC) de Gran Bretaña y su equivalente estadounidense, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), revelado.
«Esta eliminación aprobada por la corte del malware implementado por el GRU de Rusia demuestra el compromiso del departamento de detener la piratería informática del estado-nación con todas las herramientas legales a nuestra disposición», dijo Matthew Olsen, fiscal general adjunto del Departamento de Seguridad Nacional del Departamento de Justicia de EE. UU. .
“Al trabajar de cerca con WatchGuard y otras agencias gubernamentales en este país y el Reino Unido para analizar el malware y desarrollar herramientas de detección y remediación, juntos estamos demostrando el poder que las asociaciones público-privadas aportan a la seguridad cibernética de nuestro país. El departamento sigue comprometido a combatir y desbaratar la piratería informática del estado-nación en cualquier forma”.
En la operación, las autoridades copiaron y eliminaron el malware Cyclops Blink de los vulnerables firewalls WatchGuard orientados a Internet que Sandworm usó para C2 de la botnet subyacente. También cerraron los puertos de administración externos que Sandworm usaba para acceder a sus dispositivos C2, eliminando efectivamente los dispositivos víctimas del control de Sandworm y neutralizando la red de bots.
Los estadounidenses dijeron que usaron la comunicación directa con el malware Cyclops Blink en el firewall C2 e identificaron los dispositivos del enrutador, y además de recopilar sus números de serie y copiar el malware, no buscaron ninguna otra información de las redes de las víctimas o estas recopilaron lo que encontraron. . Tampoco se comunicó con ninguno de los bots subyacentes reales.
El Departamento de Justicia dijo que la rápida atención del problema por parte de WatchGuard, el lanzamiento de herramientas de detección y reparación, y la rápida aplicación de parches al usuario fueron muy eficaces. Los esfuerzos posteriores de Asus para contener la amenaza también fueron exitosos, y es probable que juntas las dos compañías hayan reparado con éxito miles de dispositivos comprometidos.
Al mismo tiempo, los dispositivos WatchGuard y Asus cuyos propietarios aún no han seguido los pasos de detección y reparación recomendados aún corren el riesgo de verse comprometidos por Sandworm. Los usuarios de dispositivos WatchGuard y Asus que están aprendiendo Cyclops Blink por primera vez deben leer las notas relevantes y seguir los consejos que se encuentran en ellas. El consejo de WatchGuard está aquí y el de Asus aquí.