Спецслужбы Великобритании и США раскрыли подробности о новом вредоносном ПО для бот-сети под названием Cyclops Blink, которое приписывается финансируемой Россией хакерской группировке Sandworm работающей начиная с 2019 года.

«Cyclops Blink, по-видимому, является заменой вредоносного ПО VPNFilter, раскрытой в 2018 году, которая использовала сетевые устройства, в основном маршрутизаторы малого офиса/домашнего офиса (SOHO) и сетевые устройства хранения данных (NAS)», — заявили агентства. «Как и в случае с VPNFilter, развёртывание Cyclops Blink также представляется неизбирательным и широко распространённым».

Sandworm, также известная как Voodoo Bear, – группировка о которой известно по крайней мере с 2008 года. Она уделяет особое внимание атакам на предприятия в Украине и, предположительно, стоит за нападениями на украинский энергетический сектор, которые привели к массовым отключениям электроэнергии в конце 2015 года.

Впервые VPNFilter был задокументирован Cisco Talos в мае 2018 года, в описании которого говорится, что это «сложная модульная система вредоносного ПО», имеющая общие черты с вредоносным ПО Sandworm's BlackEnergy и обладающая возможностями для поддержки операций по сбору разведданных и кибератак.

Было установлено, что вредоносное ПО бот-сети IoT скомпрометировало более 500 000 маршрутизаторов по меньшей мере в 54 странах, нацелившись на устройства от Linksys, MikroTik, NETGEAR и TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE.

В том же месяце правительство США объявило о захвате и уничтожении ключевого интернет-домена, используемого для атак, призвав владельцев устройств SOHO и NAS, которые могут быть заражены, перезагрузить свои устройства, чтобы временно отключить вредоносное ПО.

По состоянию на январь 2021 года анализ, проведённый компанией Trend Micro, выявил «остаточные инфекции», сохраняющиеся в тысячах сетей спустя годы после взлома VPNFilter.

Что ещё более опасно, вредоносная программа развёртывается как поддельное обновление и способна пережить перезагрузку и обновление прошивки, а связь между управляющими командами осуществляется через анонимную сеть Tor.

Выводы были сделаны в тот момент, когда Россия официально начала полномасштабную военную операцию, в то время как ИТ-инфраструктура Украины была подорвана серией DDoS-атак.


Ещё по теме: