Спецслужбы Великобритании и США раскрыли подробности о новом вредоносном ПО для бот-сети под названием Cyclops Blink, которое приписывается финансируемой Россией хакерской группировке Sandworm работающей начиная с 2019 года.
«Cyclops Blink, по-видимому, является заменой вредоносного ПО VPNFilter, раскрытой в 2018 году, которая использовала сетевые устройства, в основном маршрутизаторы малого офиса/домашнего офиса (SOHO) и сетевые устройства хранения данных (NAS)», — заявили агентства. «Как и в случае с VPNFilter, развёртывание Cyclops Blink также представляется неизбирательным и широко распространённым».
Sandworm, также известная как Voodoo Bear, – группировка о которой известно по крайней мере с 2008 года. Она уделяет особое внимание атакам на предприятия в Украине и, предположительно, стоит за нападениями на украинский энергетический сектор, которые привели к массовым отключениям электроэнергии в конце 2015 года.
Впервые VPNFilter был задокументирован Cisco Talos в мае 2018 года, в описании которого говорится, что это «сложная модульная система вредоносного ПО», имеющая общие черты с вредоносным ПО Sandworm's BlackEnergy и обладающая возможностями для поддержки операций по сбору разведданных и кибератак.
Было установлено, что вредоносное ПО бот-сети IoT скомпрометировало более 500 000 маршрутизаторов по меньшей мере в 54 странах, нацелившись на устройства от Linksys, MikroTik, NETGEAR и TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE.
В том же месяце правительство США объявило о захвате и уничтожении ключевого интернет-домена, используемого для атак, призвав владельцев устройств SOHO и NAS, которые могут быть заражены, перезагрузить свои устройства, чтобы временно отключить вредоносное ПО.
По состоянию на январь 2021 года анализ, проведённый компанией Trend Micro, выявил «остаточные инфекции», сохраняющиеся в тысячах сетей спустя годы после взлома VPNFilter.
Что ещё более опасно, вредоносная программа развёртывается как поддельное обновление и способна пережить перезагрузку и обновление прошивки, а связь между управляющими командами осуществляется через анонимную сеть Tor.
Выводы были сделаны в тот момент, когда Россия официально начала полномасштабную военную операцию, в то время как ИТ-инфраструктура Украины была подорвана серией DDoS-атак.
Ещё по теме:
- Утечка дорожной карты Intel продемонстрировала чипы следующего поколения, которые будут конкурировать с M1 от Apple
- Линейка смартфонов Samsung Galaxy S22 установила новый рекорд продаж
- Австралиец утверждает, что все его устройства на базе iOS и macOS уже два года подвергаются взлому
