Geheimdienste in Großbritannien und den USA haben Details über eine neue Botnetz-Malware namens Cyclops Blink veröffentlicht, die der von Russland unterstützten Hackergruppe Sandworm zugeschrieben wird und bei Angriffen im Jahr 2019 eingesetzt wurde.
„Cyclops Blink scheint ein Ersatz-Framework für die 2018 aufgedeckte VPNFilter-Malware zu sein, die Netzwerkgeräte, vor allem SOHO-Router (Small Office/Home Office) und NAS-Geräte (Network-Attached Storage), ausnutzte“, so die Behörden. „Genau wie VPNFilter scheint auch Cyclops Blink wahllos und weit verbreitet zu sein.
Die gemeinsame Regierungsempfehlung stammt vom National Cyber Security Centre (NCSC) in Großbritannien, der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) in den USA.
Sandworm, auch bekannt als Voodoo Bear, ist der Name einer hochentwickelten Hackergruppe, die von Russland aus operiert und mindestens seit 2008 aktiv ist. Die Hackergruppe hat es besonders auf Unternehmen in der Ukraine abgesehen und soll hinter den Angriffen auf den ukrainischen Energiesektor stecken, die Ende 2015 zu weitreichenden Stromausfällen führten.
Der Bedrohungsakteur wurde im Oktober 2020 offiziell mit der russischen Generalstabsdirektion für Nachrichtendienste (GRU), dem Hauptzentrum für Spezialtechnologien (GTsST) und der militärischen Einheit 74455 in Verbindung gebracht.
VPNFilter wurde erstmals im Mai 2018 von Cisco Talos dokumentiert und als „ausgeklügeltes modulares Malwaresystem“ beschrieben, das Überschneidungen mit der Sandworm-Malware BlackEnergy aufweist und über Fähigkeiten verfügt, die das Sammeln von Informationen und zerstörerische Cyberangriffe unterstützen.
Es wurde festgestellt, dass die IoT-Botnet-Malware mehr als 500.000 Router in mindestens 54 Ländern kompromittiert hat und auf Geräte von Linksys, MikroTik, NETGEAR und TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL und ZTE abzielt.
Im selben Monat gab die US-Regierung bekannt, dass eine wichtige Internetdomain, die für die Angriffe genutzt wurde, beschlagnahmt und abgeschaltet wurde, und forderte die Besitzer von SOHO- und NAS-Geräten, die möglicherweise infiziert sind, auf, ihre Geräte neu zu starten, um die Malware vorübergehend zu unterbrechen.
Im Januar 2021 stellte eine Analyse von Trend Micro fest, dass „Restinfektionen“ in Tausenden von Netzwerken noch immer vorhanden sind, Jahre nachdem VPNFilter versenkt wurde, obwohl der Sandworm-Akteur sich gleichzeitig dafür entschied, die Malware als Reaktion auf die öffentlichen Enthüllungen neu zu entwickeln.
Es wird vermutet, dass Cyclops Blink, so der Name des Ersatzes, mindestens seit Juni 2019 aktiv ist und vor allem WatchGuard-Firewall-Geräte angreift, obwohl die Behörden erklärten, dass die Malware auch auf andere Architekturen und Firmware umgestellt werden könnte.
Noch besorgniserregender ist, dass die Botnet-Malware als gefälschtes Update eingesetzt wird und in der Lage ist, Neustarts und Firmware-Upgrades zu überleben, wobei die Command-and-Control-Kommunikation (C2) über das anonyme Tor-Netzwerk erfolgt.
„Die Malware selbst ist ausgeklügelt und modular aufgebaut und verfügt über grundlegende Funktionen, um Geräteinformationen an einen Server zu übermitteln und das Herunterladen und Ausführen von Dateien zu ermöglichen“, so die Forscher. „Es gibt auch die Möglichkeit, neue Module hinzuzufügen, während die Malware läuft, so dass Sandworm bei Bedarf zusätzliche Funktionen implementieren kann.
WatchGuard bezeichnete es in einem unabhängigen Bulletin als ein staatlich gesponsertes Botnetz, das eine zuvor identifizierte Sicherheitslücke in der Firebox-Firmware als ursprünglichen Zugangsvektor nutzte. Die Schwachstelle wurde schließlich im Mai 2021 behoben.
„Nach aktuellen Schätzungen könnte Cyclops Blink etwa 1% der aktiven WatchGuard Firewall Appliances betroffen haben“, so das Unternehmen. „Nur die Appliances, die so konfiguriert wurden, dass die Verwaltung für das Internet offen ist, sind für Cyclops Blink anfällig.
Das Unternehmen mit Hauptsitz in Seattle empfiehlt seinen Kunden außerdem, sofort die Schritte zu befolgen, die im 4-Schritte-Plan zur Diagnose und Beseitigung von Cyclops Blink beschrieben sind, um die Bedrohung durch potenzielle bösartige Aktivitäten des Botnetzes zu diagnostizieren und zu beseitigen.
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem Russland offiziell eine groß angelegte Militäroperation zum Einmarsch in die Ukraine gestartet hat, während die IT-Infrastruktur des Landes durch eine Reihe von DDoS-Angriffen (Distributed Denial of Service) lahmgelegt wurde.