[ad_1]
Qualquer aparência de uma nova ferramenta usada pela Rússia hackers notórios e disruptivos Sandworm vai levantar as sobrancelhas dos profissionais de segurança cibernética preparados para ciberataques de alto impacto. Quando as agências dos EUA e do Reino Unido alertam sobre uma dessas ferramentas detectadas na natureza, no momento em que a Rússia prepara um potencial invasão em massa da Ucrâniaé o suficiente para disparar alarmes.
Na quarta-feira, o Centro Nacional de Segurança Cibernética do Reino Unido e a Agência de Segurança Cibernética e Infraestrutura dos EUA liberado avisos alertando que eles – junto com o FBI e a NSA – detectaram uma nova forma de malware de dispositivo de rede sendo usado pelo Sandworm, um grupo vinculado a alguns dos ciberataques mais destrutivos da história e acredita-se ser uma parte da agência de inteligência militar GRU da Rússia. O novo malware, que as agências chamam de Cyclops Blink, foi encontrado em dispositivos de firewall vendidos pela empresa de {hardware} de rede Watchguard desde pelo menos junho de 2019. Mas o NCSC alerta que “é provável que o Sandworm seja capaz de compilar o malware para outros arquiteturas e firmware”, que pode já ter infectado outros roteadores de rede comuns usados em residências e empresas, e que a “implantação do malware também parece indiscriminada e generalizada”.
Ainda não está claro se o Sandworm está invadindo dispositivos de rede para fins de espionagem, ou construindo sua rede de máquinas invadidas para usar como infraestrutura de comunicação para operações futuras, ou visando redes para ataques cibernéticos disruptivos, diz Joe Slowik, pesquisador de segurança da DomainTools e um rastreador de longa knowledge do grupo Sandworm. Mas dado que a história passada de Sandworm de causando caos virtual inclui destruir redes inteiras dentro de empresas e agências governamentais ucranianas, desencadeando apagões visando concessionárias de energia elétrica na Ucrâniae liberando o malware NotPetya lá que se espalham globalmente e custam US$ 10 bilhões em danos, Slowik diz que mesmo uma ação ambígua dos hackers merece cautela – particularmente quando outra invasão russa da Ucrânia se aproxima.
“Definitivamente parece que o Sandworm continuou o caminho de comprometer redes relativamente grandes desses dispositivos para propósitos desconhecidos”, diz Slowik. “Existem várias opções disponíveis para eles, e dado que é Sandworm, algumas dessas opções podem ser preocupantes e sangrar em negar, degradar, interromper e potencialmente destruir, embora ainda não haja evidências disso”.
O CISA e o NCSC descrevem o malware Cyclops Blink como um sucessor de um ferramenta Sandworm anterior conhecida como VPNFilter, que infectou meio milhão de roteadores para formar uma botnet international antes de ser identificado pela Cisco e pelo FBI em 2018 e amplamente desmantelado. Não há sinal de que Sandworm tenha assumido o controle de quase tantos dispositivos com o Cyclops Blink. Mas, como o VPNFilter, o novo malware serve como um ponto de apoio em dispositivos de rede e permitiria que os hackers baixassem novas funcionalidades para máquinas infectadas, seja para recrutá-los como proxies para retransmitir comunicações de comando e controle ou direcionar as redes onde os dispositivos estão instalados. .
Em sua própria análise do malware, Gravações de vigilantes que os hackers conseguiram infectar seus dispositivos por meio de uma vulnerabilidade corrigida em uma atualização de maio de 2021, que mesmo antes disso só oferecia uma abertura quando uma interface de controle dos dispositivos fosse exposta à Web. Os hackers também parecem ter usado uma vulnerabilidade na forma como os dispositivos Watchguard verificam a legitimidade das atualizações de firmware, baixando seu próprio firmware para os dispositivos de firewall e instalando-o para que seu malware possa sobreviver a reinicializações. A Watchguard estima que cerca de 1% de seu número overall de firewalls instalados foram infectados, embora não tenha dado um número overall de quantos dispositivos representavam. Vigilante também ferramentas lançadas para detectar infecções em seus firewalls e, se necessário, limpe e reinstale seu device.
.
[ad_2]
Fonte da Notícia
