Dopo la scoperta di HermeticWiper, il primo malware ufficiale della guerra tra Russia e Ucraina, i governi di USA e Regno Unito lanciano ora l’allarme per Cyclops Blink, un nuovo ceppo malevolo che gli attori della minaccia (probabilmente ricollegabili al gruppo criminale russo Sandworm) stanno sfruttando per colpire i firewall e ottenere accesso remoto alle reti compromesse.
Il gruppo Sandworm, lo ricordiamo, è il team collegato allo stato russo, tramite l’intelligence militare, al quale avrebbero aderito vari ufficiali militari del GRU (Direzione principale dell’intelligence russa): si tratta dello stesso gruppo identificato come responsabile degli attacchi contro l’Ucraina del 2015 e del 2017 tramite il ransomware Petya.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Come funziona Cyclops Blink
Secondo quando riportato nell’avvertimento di sicurezza pubblicato congiuntamente dal National Cyber Security Centre (NCSC) del Regno Unito, della Cybersecurity and Infrastructure Security Agency (CISA), della National Security Agency (NSA) e del Federal Bureau of Investigation (FBI), da un punto di vista tecnico Cyclops Blink “sembra essere un sostituto del malware VPNFilter scoperto nel 2018 e la sua distribuzione potrebbe consentire a Sandworm di accedere alle reti da remoto. Come con VPNFilter, anche l’implementazione di Cyclops Blink sembra essere indiscriminata e diffusa”.
L’analisi tecnica descrive Cyclops Blink come un “pezzo di malware altamente sofisticato” che è stato “sviluppato professionalmente”. Può anche caricare e scaricare file da macchine infette ed è modulare, consentendo di aggiungere nuove funzionalità al malware già in esecuzione.
Sebbene dettagliato solo adesso, lo sviluppo di Cyclops Blink risalirebbe al mese di giugno 2019. Una volta operato lo sfruttamento del dispositivo target, il malware organizza i dispositivi della vittima in cluster e ogni distribuzione ha un elenco di indirizzi IP e porte di comando e controllo (C&C) proprie, garantendo la sicurezza delle comunicazioni tra il gruppo e i dispositivi compromessi con Transport Layer Security (TLS) a chiavi e certificati generati individualmente.
Il primo obiettivo, che ha fatto scattare l’allarme delle agenzie di sicurezza nazionale tra il 23 e il 24 febbraio, è stato un dispositivo firewall WatchGuard Firebox dotato di un vecchio firmware.
La compromissione massiva di questi dispositivi (si stima abbia interessato circa l’1% di quelli in uso), ha consentito la creazione di una botnet al servizio del gruppo attaccante. Inoltre, rispetto ai suoi predecessori, il nuovo malware ha funzionalità di aggiornamento tramite firmware legittimi, per consentire una persistenza dell’attacco più stabile e di caricare e scaricare file dal server C&C.
Sempre secondo gli analisti di NCSC, CISA; NSA ed FBI, inoltre, i cyber attacchi sembrano essere principalmente focalizzati sui dispositivi firewall WatchGuard, ma le agenzie di sicurezza hanno avvertito che Sandworm è in grado di riproporre il malware per diffonderlo attraverso altre architetture e firmware.
È importante sottolineare, inoltre, che un’infezione non significa che l’organizzazione sia l’obiettivo primario dell’attacco informatico, ma è possibile che le macchine infette possano essere utilizzate per condurre ulteriori attacchi.
Come rilevarlo e mitigare i danni
Data la potenzialità di Cyclops Blink, WatchGuard, insieme alla stretta collaborazione con le agenzie governative, ha emesso delle linee guida per fronteggiare l’emergenza al fine di mitigarne i danni.
Inoltre, lo stesso vendor ha reso disponibile online anche un tool sotto forma di web-interface che guida l’utente alla detection del rischio di infezione.
In questo modo, è possibile identificare e rimuovere Cyclops Blink dai dispositivi interessati. Inoltre, si consiglia agli utenti e alle organizzazioni di aggiornare immediatamente i dispositivi interessati e rimuovere l’eventuale codice malevolo.
Come suggerisce lo CSIRT-Italia, è anche importante:
- modificare le password di accesso alle interfacce di controllo dei dispositivi interessati;
- implementare la segmentazione della rete.
Infine, il nostro Computer Security Incident Response Team consiglia anche di valutare l’implementazione sui propri apparati di sicurezza dei relativi Indicatori di Compromissione (IoC).
