Os serviços de inteligência ocidentais estão alertando sobre o Cyclops Blink, a mais recente ferramenta à disposição do notório grupo.
Na última quarta-feira, o Centro Nacional de Segurança Cibernética do Reino Unido e a Agência de Segurança Cibernética e Infraestrutura dos EUA divulgaram alertas que eles – junto com o FBI e a NSA – detectaram uma nova forma de malware de dispositivo de rede sendo usado pelo Sandworm, um grupo vinculado a alguns dos os ataques cibernéticos mais destrutivos da história.
Entenda sobre o Cyclops Blink
O novo malware, que as agências chamam de Cyclops Blink, foi encontrado em dispositivos de firewall vendidos pela empresa de hardware de rede Watchguard desde pelo menos junho de 2019. Mas o NCSC alerta que “é provável que o Sandworm seja capaz de compilar o malware para outras arquiteturas. e firmware", que pode já ter infectado outros roteadores de rede comuns usados em residências e empresas, e que a "implantação do malware também parece indiscriminada e generalizada".
Ainda não está claro se o Sandworm está invadindo dispositivos de rede para fins de espionagem, construindo sua rede de máquinas invadidas para usar como infraestrutura de comunicação para operações futuras ou visando redes para ataques cibernéticos disruptivos, diz Joe Slowik, pesquisador de segurança da Gigamon e há muito tempo rastreador do grupo Sandworm. Mas dado que a história passada de Sandworm de infligir caos digital inclui a destruição de redes inteiras dentro de empresas e agências governamentais ucranianas, provocando apagões visando concessionárias de energia elétrica na Ucrânia e liberando o malware NotPetya lá, que se espalhou globalmente e custou US $ 10 bilhões em danos.
A CISA e o NCSC descrevem o malware Cyclops Blink como um sucessor de uma ferramenta Sandworm anterior conhecida como VPNFilter, que infectou meio milhão de roteadores para formar uma botnet global. Não há sinal de que Sandworm tenha assumido o controle de quase tantos dispositivos com o Cyclops Blink. Mas, como o VPNFilter, o novo malware serve como um ponto de apoio em dispositivos de rede e permitiria que os hackers baixassem novas funcionalidades para máquinas infectadas .
Em sua própria análise do malware, a Watchguard escreve que os hackers conseguiram infectar seus dispositivos por meio de uma vulnerabilidade corrigida em uma atualização de maio de 2021, que mesmo antes disso só oferecia uma abertura quando uma interface de controle para os dispositivos fosse exposta a a Internet.
O NCSC observa em seu site que seu aviso sobre o Cyclops Blink “não está diretamente ligado à situação na Ucrânia”. Mas mesmo sem uma ligação imediata com o conflito que se desenrola na região, os sinais de que os hackers GRU hiper-agressivos da Rússia construíram uma nova botnet de dispositivos de rede servem como um alerta oportuno.
Na semana passada, funcionários da Casa Branca alertaram que uma série de ataques distribuídos de negação de serviço que atingiram o governo ucraniano, militares e redes corporativas foram obra do GRU. Uma nova rodada desses ataques DDoS contra alvos ucranianos começou novamente na quarta-feira, juntamente com o malware de limpeza de dados que a empresa de segurança ESET diz ter sido instalado em “centenas de máquinas” no país.
À medida que a Rússia cercou as fronteiras da Ucrânia com tropas e declarou a independência de dois grupos separatistas dentro do território ucraniano, aumentaram os temores de que novos ataques cibernéticos em grande escala acompanharão qualquer invasão física.
Isso significa que os administradores de rede devem procurar sinais do Cyclops Blink em seus dispositivos e lidar com qualquer infecção imediatamente, mesmo que isso signifique tirá-los da rede.
Mesmo que aquela caixa infectada em seu armário de servidores não esteja mirando em sua rede, em outras palavras, ela pode estar permitindo um caos digital direcionado a outra pessoa, do outro lado do mundo.
Veja também: Ucrânia é alvo de ataque hacker
Sobre a Brasiline
A Brasiline construiu, em mais de 18 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.