Bộ Tư pháp Hoa Kỳ (DoJ) thông báo rằng họ đã vô hiệu hóa Cyclops Blink, một mạng botnet mô-đun được điều khiển bởi một kẻ đe dọa được gọi là Sandworm, được cho là thuộc Cục Tình báo Chính của Bộ Tổng Tham mưu Lực lượng Vũ trang Liên bang Nga (GRU ).
“Hoạt động đã sao chép và xóa phần mềm độc hại khỏi các thiết bị tường lửa kết nối internet dễ bị tấn công mà Sandworm đã sử dụng để ra lệnh và kiểm soát (C2) của mạng botnet bên dưới”, DoJ cho biết trong một tuyên bố hôm thứ Tư.
Ngoài việc phá vỡ cơ sở hạ tầng C2, hoạt động này cũng đóng các cổng quản lý bên ngoài mà tác nhân đe dọa sử dụng để thiết lập kết nối với các thiết bị tường lửa, cắt đứt liên lạc và ngăn chặn nhóm tấn công sử dụng các thiết bị bị nhiễm virus để điều khiển mạng botnet một cách hiệu quả.
Sự cố gián đoạn Cyclops Blink được tòa án cho phép vào ngày 22 tháng 3 xảy ra hơn một tháng sau khi các cơ quan tình báo ở Anh và Mỹ mô tả mạng botnet này là một khuôn khổ thay thế cho phần mềm độc hại VPNFilter đã bị lộ và chìm vào tháng 5 năm 2018.
Cyclops Blink, được cho là đã xuất hiện vào đầu tháng 6 năm 2019, chủ yếu nhắm mục tiêu vào các thiết bị tường lửa WatchGuard và bộ định tuyến ASUS, với nhóm Sandworm đã tận dụng một lỗ hổng bảo mật đã được xác định trước đó trong chương trình cơ sở Hộp thư lửa của WatchGuard làm véc tơ truy cập ban đầu.
Một phân tích tiếp theo của công ty an ninh mạng Trend Micro vào tháng trước cho thấy khả năng mạng botnet là một nỗ lực để “xây dựng cơ sở hạ tầng cho các cuộc tấn công tiếp theo vào các mục tiêu có giá trị cao.”
DoJ cho biết thêm: “Các thiết bị mạng này thường nằm trong chu vi mạng máy tính của nạn nhân, do đó cung cấp cho Sandworm khả năng thực hiện các hoạt động độc hại chống lại tất cả các máy tính trong các mạng đó.
Chi tiết về lỗ hổng bảo mật không bao giờ được công khai ngoài việc công ty đã giải quyết vấn đề này như một phần của các bản cập nhật phần mềm được phát hành vào tháng 5 năm 2021, với WatchGuard lưu ý ngược lại rằng các vấn đề đã được phát hiện nội bộ và chúng không được “tìm thấy tích cực trong hoang dã.”
Kể từ đó, công ty đã sửa đổi Câu hỏi thường gặp về Cyclops Blink để giải thích rằng lỗ hổng được đề cập là CVE-2022-23176 (điểm CVSS: 8,8), điều này có thể “cho phép người dùng không có đặc quyền có quyền truy cập vào quản lý Firebox xác thực với hệ thống với tư cách là quản trị viên “và truy cập trái phép từ xa.
Về phần mình, ASUS đã phát hành các bản vá lỗi phần sụn kể từ ngày 1 tháng 4 năm 2022, để ngăn chặn mối đe dọa, đồng thời khuyến nghị người dùng cập nhật lên phiên bản mới nhất.
.
