Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato di aver neutralizzato Cyclops Blink (l’occhiolino del ciclope), una botnet modulare controllata da un threat actor noto come Sandworm, attribuito alla Direzione dell’intelligence dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU).
“L’operazione ha copiato e rimosso il malware dai dispositivi firewall vulnerabili connessi a Internet che Sandworm ha utilizzato per il command and control (C2) della botnet”, ha dichiarato il DoJ in una dichiarazione mercoledì.
Oltre a interrompere l’infrastruttura C2, l’operazione ha anche chiuso le porte di gestione esterna che Sandworm ha utilizzato per stabilire le connessioni con i firewall. Ciò ha interrotto le connessioni in maniera efficace impedendo al gruppo di hacker di utilizzare i dispositivi infetti per comandare la botnet.
L’interruzione autorizzata dal tribunale del 22 marzo di Cyclops Blink arriva poco più di un mese dopo che le agenzie di intelligence del Regno Unito e degli Stati Uniti hanno descritto la botnet come un successore del malware VPNFilter che è stato scoperto e neutralizzato nel maggio 2018.
Cyclops Blink, che si ritiene sia emerso già nel giugno 2019, ha preso di mira principalmente gli apparecchi firewall WatchGuard e i router ASUS. Gli attaccanti hanno sfruttato una vulnerabilità precedentemente identificata nel firmware Firebox di WatchGuard come vettore di accesso iniziale.
Inoltre, un’analisi di Trend Micro ha suggerito la possibilità che la botnet è un tentativo di “costruire un’infrastruttura per ulteriori attacchi su obiettivi sensibili”.
“Questi dispositivi di rete sono spesso situati sul perimetro della rete di computer di una vittima, fornendo così a Sandworm la capacità potenziale di condurre attività dannose contro tutti i computer all’interno di quelle reti”, ha aggiunto il DoJ.
I dettagli della falla non sono mai stati pubblicati, ma l’azienda ha messo una pezza al problema con aggiornamenti cumulativi rilasciati nel maggio 2021. WatchGuard ha però dichiarato che i problemi sono stati rilevati internamente e che non sono stati “attivamente trovati in natura”.
L’azienda ha poi rivisto le sue FAQ su Cyclops Blink per precisare che la vulnerabilità in questione è CVE-2022-23176 (punteggio CVSS: 8.8). Ciò significa che potrebbe “consentire a un utente non privilegiato con accesso alla gestione del Firebox di autenticarsi al sistema come amministratore” e ottenere un accesso remoto non autorizzato.
ASUS, da parte sua, ha rilasciato patch del firmware il 1 aprile 2022, per bloccare la minaccia, raccomandando agli utenti di aggiornare all’ultima versione.