Официальные лица правительства США объявили сегодня о нарушении работы ботнета Cyclops Blink, контролируемого поддерживаемой Россией хакерской группой Sandworm, до того, как он был использован в атаках.
Вредоносное ПО, используемое Sandworm для создания этого ботнета по крайней мере с июня 2019 года, нацелено на устройства межсетевого экрана WatchGuard Firebox и несколько моделей маршрутизаторов ASUS.
Cyclops Blink позволяет злоумышленникам установить постоянство на устройстве с помощью обновлений прошивки, обеспечивая удаленный доступ к скомпрометированным сетям. Это вредоносное ПО имеет модульную структуру, что упрощает обновление для работы с новыми устройствами и позволяет использовать новые пулы оборудования, которое может быть использовано для уязвимостей.
После того, как 18 марта Министерство юстиции США санкционировало эту операцию в суде, вредоносное ПО было удалено со всех оставшихся идентифицированных устройств Watchguard, выступающих в качестве серверов управления и контроля.
ФБР также уведомило владельцев скомпрометированных устройств в Соединенных Штатах и за границей через иностранных правоохранительных органов, прежде чем удалять вредоносное ПО Cyclops Blink. Жертвы из США, чья контактная информация не была найдена, связались с их провайдерами после уведомлений, выпущенных ФБР.
Директор ФБР Крис Рэй заявил, что работа ботнета была нарушена благодаря тесному сотрудничеству с WatchGuard при анализе вредоносных программ и разработке инструментов обнаружения и методов исправления.
WatchGuard поделился подробными инструкциями о том, как восстановить скомпрометированные устройства Firebox до чистого состояния, чтобы исправить заражение и обновить их до последней версии ОС Fireware, чтобы предотвратить будущие заражения.
