ABD Hükümet yetkilileri bugün, kremloların bozulmasına, saldırılarda kullanılmadan önce Rus destekli Sandworm Hacking Grubu tarafından kontrol edilen botnetin bozulmasını yanıp söner.
Sandworm tarafından en azından Haziran 2019'dan bu yana bu botnet'i yaratması için kullanılan kötü amaçlı yazılım, WatchGuard Firebox Firewall Aletleri ve Çoklu ASUS Router modellerini hedefliyor.
Cyclops Blink, saldırganların, donanım yazılımı güncellemeleri aracılığıyla cihazda kalıcılık kurmasını sağlar ve ödün verilen ağlara uzaktan erişim sağlar.
Bu kötü amaçlı yazılım modülerdir, yeni cihazları hedeflemek için yükseltmeyi kolaylaştırır ve yeni sömürülebilir donanım havuzlarına dokunmayı kolaylaştırır.
ABD Avukatı Genel Merrick Garland, "Bugünün bugününü duyuruyoruz [..] ABD Avukatı Genel Merrick Garland," Rus askeri zeka ajansı tarafından kontrol edilen küresel bir botnetin bozulması "dedi.
"Rus hükümeti yakın zamanda Ukrayna hedeflerine saldırmak için benzer altyapıyı kullandı. Neyse ki, bu botnet'i kullanılmadan önce bozabildik.
"Uluslararası ortaklarla yakın işimiz sayesinde binlerce ağ donanım aygıtının enfeksiyonunu tespit edebildik. Daha sonra Botnet silahlanmadan önce GRU'nun bu cihazlar üzerindeki kontrolünü devre dışı bırakabildik."
Bu ABD Adalet Departmanı operasyonunun ilk 18 Mart Mahkemesi yetkilendirmesini takiben, kötü amaçlı yazılım, komut ve kontrol sunucuları olarak hareket eden kalan tüm belirlenmiş Watchguard cihazlarından kaldırıldı.
FBI ayrıca, Cyclops'un yanıp sönmesi kötü amaçlı yazılımı kaldırmadan önce, ABD'de ve yurtdışındaki ABD'de ve yurtdışındaki uzlaşmış cihazların sahiplerine bildirmiştir. İletişim bilgileri bulunamadı, FBI tarafından verilen bildirimleri takip eden sağlayıcıları ile temasa geçildi.
FBI Direktörü Chris Wray, kötü amaçlı yazılımları analiz ederken ve tespit araçlarını ve iyileştirme tekniklerini geliştirirken Botnet'in WatchGuard ile yakın işbirliğinin ardından bozulduğunu söyledi.
"İleri hareket ettikçe, botlar olarak hareket eden herhangi bir şömine aygıtının, sahipleri tarafından hafifletilene kadar gelecekte savunmasız kalabilir. "FBI Direktörü Chris Wray eklendi.
"Sandworm, bilgisayar güçlerini gerçekten ağın gerçekten çalıştırdığı bir şekilde kullanmak ve kötü amaçlı yazılımları açacak şekilde ya da kötü amaçlı yazılım başlatmalarına ya da Orchestrate Dağıtıcıları Reddi, GRU'nun Ukrayna'ya saldırdığı gibi kullandıkları gibi işten çıkmalarını engelleyecek şekilde kullanmaları için bir araya getirdi."
WatchGuard, Cyclops'un yanıp söndüğü tehdidinin ortadan kaldırılmasında, ortaklarını ve müşterilerini kötü amaçlı yazılımın hükümetin hükümetin açıklanmasını takiben ve ABD Adalet Bakanlığı ile işbirliği yaparak, algılama ve iyileştirme araçlarının hızlı salınması ile Botnet'i boz. Şirketin eşi ve müşteri toplulukları ile yakın işbirliği, WatchGuard cihazlarının% 1'inden azını etkileyen bu sofistike devlet destekli tehdidi azaltmada etkili oldu. - Watchguard sözcüsü
Sandworm (Voodoo Bear, Blackenergy ve Telebotlar olarak da izlenir), Siklopların arkasındaki grup Botnet'in arkasındaki grup, 2000'lerin ortasından bu yana Rus destekli bir hack grubudur.
Operatörleri, Rus GRU'nun Özel Teknolojiler (GTSST) için ana merkezinin 74455'inin biriminin Rus askeri hackerları olduğuna inanılmaktadır.
Sandworm, 2015 ve 2016'da Ukrayna'daki karartmaların arkasındaki Blackenergy kötü amaçlı yazılımına bağlandı [1, 2, 3], KillDisk Silecek Silecek, Ukrayna bankalarına karşı saldırılar ve son derece yıkıcı notpetya ransomware, Milyarlarca 2017'den başlayan şirketlere milyarlarca zarar verecek .
"SANDWORM, Premier Rus siber saldırı yeteneğidir ve işgalin ışığında en çok endişelendiğimiz aktörlerden biri," Yahi Hultquist, Mandiantive VP İstihbarat Analizi, BleepingBomputer'a verdi.
"Ukrayna'da hedeflere vurmak için kullanılabilecekleri konusunda endişeliyiz, ancak batıdaki hedeflere Rusya'ya verilen baskıya intikayı aldıkları konusunda endişeliyiz."
ABD, İngiltere Link Yeni Cyclops Rus Devlet Hacker'larına kötü amaçlı yazılımları yanıp sönüyor
ABD, Kritik Altyapı Hacks ile 4 Rus Govt Çalışanları Ücretleri
ASUS Cyclops'un Uyarıları Yanıp Kazanmak Kötü Amaçlı Yazılım Saldırılarını Hedefleme Yönlendiricileri
FBI, lateral hareketi için devlet bilgisayar korsanları tarafından kullanılan MFA kusurlarının uyarılması
ABD Hazinesi: Rusya, Ransomware ödemelerini kullanarak yaptırımları atlayabilir
Kaynak: Bleeping Computer