El Departamento de Justicia de EE. UU. (DoJ), en colaboración con el FBI y varias otras autoridades, ha interrumpido con éxito el funcionamiento de una red de bots rusa utilizada por los servicios de inteligencia de Moscú para distribuir el llamado malware Cyclops Blink.
El malware Cyclops Blink apuntó al firewall de WatchGuard y a los dispositivos de enrutador posteriores de Asus, usándolos como infraestructura de comando y control (C2) para una red de bots subyacente. Era una herramienta de la Dirección Principal de Inteligencia de Rusia (GRU) y utilizada por el conocido grupo de amenazas persistentes avanzadas (APT) Sandworm (también conocido como Voodoo Bear).
Cyclops Blink, el sucesor de un malware anterior de Sandworm conocido como VPNFilter, era particularmente peligroso porque se dirigía específicamente a los cortafuegos en los perímetros de la red, por lo que cuando se explotaba con éxito, permitía que Sandworm realizara actividades maliciosas en todas las máquinas que se encontraban detrás del cortafuegos.
Sin embargo, es importante tener en cuenta que, en el caso de WatchGuard, solo apuntó a dispositivos que habían sido reconfigurados a partir de sus sesiones predeterminadas de fábrica para permitir el acceso externo a las interfaces de administración remota; se cree que es menos del 1% de la base instalada de la empresa.
Su existencia fue revelada en un aviso conjunto del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y su equivalente estadounidense, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) el 23 de febrero de 2022, solo unas horas antes de que Rusia comenzara su ataque contra Ucrania.
“Esta eliminación autorizada por la corte del malware desplegado por el GRU ruso demuestra el compromiso del departamento de interrumpir la piratería informática del estado-nación utilizando todas las herramientas legales a nuestra disposición”, dijo Matthew Olsen, fiscal general adjunto de la División de Seguridad Nacional del Departamento de Justicia.
“Al trabajar en estrecha colaboración con WatchGuard y otras agencias gubernamentales en este país y el Reino Unido para analizar el malware y desarrollar herramientas de detección y remediación, estamos mostrando juntos la fortaleza que la asociación público-privada aporta a la seguridad cibernética de nuestro país. El departamento sigue comprometido a confrontar e interrumpir la piratería informática del estado-nación, en cualquier forma que tome”.
En la operación, las autoridades copiaron y eliminaron el malware Cyclops Blink de los vulnerables firewalls WatchGuard conectados a Internet que Sandworm estaba usando para C2 de la botnet subyacente. También cerraron los puertos de administración externos que Sandworm estaba usando para acceder a sus dispositivos C2, lo que separó efectivamente los dispositivos de las víctimas del control de Sandworm y neutralizó la red de bots.
Los estadounidenses dijeron que aprovecharon las comunicaciones directas con el malware Cyclops Blink en los dispositivos de firewall y enrutador C2 que identificó y, además de recopilar sus números de serie y copiar el malware, no buscó ni recopiló otra información de las redes de las víctimas. encontró Tampoco se comunicó con ninguno de los bots subyacentes reales.
El Departamento de Justicia dijo que la rápida atención de WatchGuard al problema, el lanzamiento de herramientas de detección y reparación y la rápida aplicación de parches por parte de los usuarios habían sido muy eficaces. Los esfuerzos posteriores de Asus para mitigar la amenaza también fueron efectivos y, juntas, es probable que ambas empresas hayan reparado con éxito miles de dispositivos comprometidos.
Pero, al mismo tiempo, los dispositivos WatchGuard y Asus cuyos propietarios aún no han seguido los pasos de detección y reparación recomendados aún corren el riesgo de verse comprometidos por Sandworm. Los usuarios de dispositivos WatchGuard y Asus que están aprendiendo Cyclops Blink por primera vez ahora deben consultar los avisos relevantes y seguir los consejos que se incluyen. Los consejos de WatchGuard se pueden encontrar aquí y los de Asus aquí.