Новое вредоносное ПО под названием Cyclops Blink было связано с поддерживаемой Россией хакерской группой Sandworm в совместном бюллетене по безопасности, опубликованном сегодня правоохранительными органами США и Великобритании.
«Вредоносное ПО, получившее название Cyclops Blink, похоже, является заменой вредоносного ПО VPNFilter, обнаруженного в 2018 году, и его развертывание может позволить Sandworm получать удаленный доступ к сетям», — заявил сегодня Национальный центр кибербезопасности Великобритании.
Сегодня компания WatchGuard выпустила собственное предупреждение, в котором говорится, что Cyclops Blink мог повлиять примерно на 1% всех активных устройств брандмауэра WatchGuard, которые в основном используются бизнес-клиентами.
Согласно анализу NCSC, ФБР, CISA и АНБ, вредоносное ПО также поставляется с модулями, специально разработанными для загрузки/выгрузки файлов на сервер управления и контроля и с него, сбора и кражи информации об устройствах, а также обновления вредоносного ПО.
Вредоносное ПО использует легитимные каналы обновления прошивки зараженных устройств для сохранения доступа к скомпрометированным системам путем внедрения вредоносного кода и развертывания переупакованных образов прошивки.
«Cyclops Blink сохраняется при перезагрузке и в течение всего процесса законного обновления прошивки. Поэтому пострадавшие организации должны принять меры для удаления вредоносного ПО», — добавили агентства.
Все учетные записи на зараженных устройствах следует считать скомпрометированными, и организациям следует немедленно закрыть доступ в Интернет к интерфейсу управления затронутых сетевых устройств.
