Cyclops Blink Malware

Plusieurs agences de cybersécurité des États-Unis et du Royaume-Uni ont publié un nouvel avis de sécurité conjoint détaillant leurs conclusions sur une menace malveillante suivie sous le nom de Cyclops Blink. Selon le rapport, le logiciel malveillant serait associé à un groupe de cyberespionnage soutenu par la Russie connu sous le nom de Sandworm. Le même groupe de pirates a également été suivi comme Voodoo Bear, BlackEnergy et TeleBots, et on estime qu'il est actif depuis près de 20 ans.

Le Cyclops Blink semble être le successeur du précédent malware Sandworm connu sous le nom de VPNFilter, qui a été exposé au public en 2018. Le nouvel outil menaçant est conçu pour créer un botnet de WatchGuard Firebox compromis et de périphériques réseau similaires. La menace est diffusée sans discernement et de manière généralisée.

Fonctions menaçantes

Une fois établi sur les appareils ciblés, le Cyclops Blink fournit un accès détourné aux réseaux compromis pour les pirates Sandworm. Les caractéristiques invasives de la menace sont diffusées à travers des modules spécialement conçus. Certaines des fonctions nuisibles les plus notables du logiciel malveillant incluent la possibilité de récupérer des fichiers supplémentaires, d'exfiltrer des fichiers choisis, de collecter et de transmettre des informations sur l'appareil et d'obtenir des mises à jour à partir des opérations du serveur Command-and-Control (C2).

Les techniques utilisées par le Cyclops Blink pour s'intégrer dans les appareils infectés lui permettent d'exploiter les canaux légitimes de mise à jour du firmware. Par conséquent, la menace peut persister sur le système lors des redémarrages et même tout au long du processus officiel de mise à jour du micrologiciel.

WatchGuard a publié son propre avis dans lequel il déclare qu'environ 1 % de ses dispositifs de pare-feu actifs peuvent être touchés par la menace. Tous les comptes sur les systèmes piratés doivent être présumés compromis et les organisations concernées doivent mettre en œuvre les étapes nécessaires pour déconnecter l'interface de gestion des périphériques réseau d'Internet.