Das US-Justizministerium (DoJ) gab bekannt, dass es Cyclops Blink neutralisiert hat, ein modulares Botnetz, das von einem als Sandworm bekannten Bedrohungsakteur kontrolliert wird, der der Hauptnachrichtendirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) zugeschrieben wird.
„Die Operation kopierte und entfernte Malware von anfälligen, mit dem Internet verbundenen Firewall-Geräten, die Sandworm für die Steuerung des zugrunde liegenden Botnetzes nutzte“, erklärte das Justizministerium am Mittwoch in einer Erklärung.
Neben der Unterbrechung der C2-Infrastruktur wurden bei der Operation auch die externen Management-Ports geschlossen, über die der Bedrohungsakteur Verbindungen zu den Firewall-Geräten herstellte, wodurch der Kontakt effektiv unterbrochen wurde und die Hackergruppe daran gehindert wurde, die infizierten Geräte zur Steuerung des Botnetzes zu nutzen.
Die gerichtlich genehmigte Unterbrechung von Cyclops Blink am 22. März erfolgte etwas mehr als einen Monat, nachdem Geheimdienste in Großbritannien und den USA das Botnetz als Ersatz für die VPNFilter-Malware beschrieben hatten, die im Mai 2018 aufgedeckt und ausgehoben wurde.
Cyclops Blink, das vermutlich bereits im Juni 2019 aufgetaucht ist, zielte in erster Linie auf WatchGuard Firewall-Appliances und ASUS-Router ab, wobei die Sandworm-Gruppe eine zuvor entdeckte Sicherheitslücke in der Firebox-Firmware von WatchGuard als ersten Zugangsvektor nutzte.
Eine Folgeanalyse des Cybersecurity-Unternehmens Trend Micro vom letzten Monat legt die Vermutung nahe, dass das Botnetz versucht, „eine Infrastruktur für weitere Angriffe auf hochrangige Ziele aufzubauen“.
„Diese Netzwerkgeräte befinden sich oft am Rande des Computernetzwerks eines Opfers, wodurch Sandworm die Möglichkeit hat, bösartige Aktivitäten gegen alle Computer in diesen Netzwerken durchzuführen“, so das Justizministerium weiter.
Einzelheiten zu der Sicherheitslücke wurden nie veröffentlicht, außer dass das Unternehmen das Problem im Rahmen von Software-Updates im Mai 2021 behoben hat. WatchGuard stellte jedoch fest, dass die Probleme intern entdeckt und nicht „aktiv in freier Wildbahn“ gefunden wurden.
Das Unternehmen hat inzwischen seine Cyclops Blink FAQs überarbeitet, um klarzustellen, dass es sich bei der Schwachstelle um CVE-2022-23176 (CVSS-Score: 8.8) handelt, die es einem nicht privilegierten Benutzer mit Zugriff auf die Firebox-Verwaltung ermöglicht, sich als Administrator zu authentifizieren und unbefugten Fernzugriff auf das System zu erhalten.
ASUS hat seinerseits ab dem 1. April 2022 Firmware-Patches veröffentlicht, um die Bedrohung zu blockieren, und empfiehlt den Nutzern, auf die neueste Version zu aktualisieren.