L'ANALISI TECNICA

Cyclops Blink, il malware russo che prende di mira i firewall: nuovo fronte di guerra ibrida

Si chiama Cyclops Blink il nuovo malware che i criminal hacker, probabilmente legati al gruppo criminale russo Sandworm, stanno usando per colpire firewall di rete WatchGuard sfruttando una vulnerabilità in un vecchio firmware e diffondere payload nelle reti compromesse. Ecco i dettagli

25 Feb 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Dopo la scoperta di HermeticWiper, il primo malware ufficiale della guerra tra Russia e Ucraina, i governi di USA e Regno Unito lanciano ora l’allarme per Cyclops Blink, un nuovo ceppo malevolo che gli attori della minaccia (probabilmente ricollegabili al gruppo criminale russo Sandworm) stanno sfruttando per colpire i firewall e ottenere accesso remoto alle reti compromesse.

Il gruppo Sandworm, lo ricordiamo, è il team collegato allo stato russo, tramite l’intelligence militare, al quale avrebbero aderito vari ufficiali militari del GRU (Direzione principale dell’intelligence russa): si tratta dello stesso gruppo identificato come responsabile degli attacchi contro l’Ucraina del 2015 e del 2017 tramite il ransomware Petya.

L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar

Come funziona Cyclops Blink

Secondo quando riportato nell’avvertimento di sicurezza pubblicato congiuntamente dal National Cyber Security Centre (NCSC) del Regno Unito, della Cybersecurity and Infrastructure Security Agency (CISA), della National Security Agency (NSA) e del Federal Bureau of Investigation (FBI), da un punto di vista tecnico Cyclops Blink “sembra essere un sostituto del malware VPNFilter scoperto nel 2018 e la sua distribuzione potrebbe consentire a Sandworm di accedere alle reti da remoto. Come con VPNFilter, anche l’implementazione di Cyclops Blink sembra essere indiscriminata e diffusa”.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

L’analisi tecnica descrive Cyclops Blink come un “pezzo di malware altamente sofisticato” che è stato “sviluppato professionalmente”. Può anche caricare e scaricare file da macchine infette ed è modulare, consentendo di aggiungere nuove funzionalità al malware già in esecuzione.

Sebbene dettagliato solo adesso, lo sviluppo di Cyclops Blink risalirebbe al mese di giugno 2019. Una volta operato lo sfruttamento del dispositivo target, il malware organizza i dispositivi della vittima in cluster e ogni distribuzione ha un elenco di indirizzi IP e porte di comando e controllo (C&C) proprie, garantendo la sicurezza delle comunicazioni tra il gruppo e i dispositivi compromessi con Transport Layer Security (TLS) a chiavi e certificati generati individualmente.

Il primo obiettivo, che ha fatto scattare l’allarme delle agenzie di sicurezza nazionale tra il 23 e il 24 febbraio, è stato un dispositivo firewall WatchGuard Firebox dotato di un vecchio firmware.

La compromissione massiva di questi dispositivi (si stima abbia interessato circa l’1% di quelli in uso), ha consentito la creazione di una botnet al servizio del gruppo attaccante. Inoltre, rispetto ai suoi predecessori, il nuovo malware ha funzionalità di aggiornamento tramite firmware legittimi, per consentire una persistenza dell’attacco più stabile e di caricare e scaricare file dal server C&C.

Sempre secondo gli analisti di NCSC, CISA; NSA ed FBI, inoltre, i cyber attacchi sembrano essere principalmente focalizzati sui dispositivi firewall WatchGuard, ma le agenzie di sicurezza hanno avvertito che Sandworm è in grado di riproporre il malware per diffonderlo attraverso altre architetture e firmware.

È importante sottolineare, inoltre, che un’infezione non significa che l’organizzazione sia l’obiettivo primario dell’attacco informatico, ma è possibile che le macchine infette possano essere utilizzate per condurre ulteriori attacchi.

Come rilevarlo e mitigare i danni

Data la potenzialità di Cyclops Blink, WatchGuard, insieme alla stretta collaborazione con le agenzie governative, ha emesso delle linee guida per fronteggiare l’emergenza al fine di mitigarne i danni.

Inoltre, lo stesso vendor ha reso disponibile online anche un tool sotto forma di web-interface che guida l’utente alla detection del rischio di infezione.

In questo modo, è possibile identificare e rimuovere Cyclops Blink dai dispositivi interessati. Inoltre, si consiglia agli utenti e alle organizzazioni di aggiornare immediatamente i dispositivi interessati e rimuovere l’eventuale codice malevolo.

Come suggerisce lo CSIRT-Italia, è anche importante:

  • modificare le password di accesso alle interfacce di controllo dei dispositivi interessati;
  • implementare la segmentazione della rete.

Infine, il nostro Computer Security Incident Response Team consiglia anche di valutare l’implementazione sui propri apparati di sicurezza dei relativi Indicatori di Compromissione (IoC).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5