Russische Schadsoftware mit dem Namen „Cyclops Blink“ entdeckt

Die russlandnahe Hackergruppe Sandworm soll eine neue Schadsoftware mit dem Namen Cyclops Blink verbreiten, die nun auch verstärkt gegen die Ukraine eingesetzt werden könnte.

Das haben die Cybersicherheitsbehörden Großbritanniens (NCSC) und der USA (CISA) sowie die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) herausgefunden. Die Software soll seit mindestens Juni 2019 unbemerkt aktiv sein. So heißt es in der Analyse des gemeinsamen Sicherheitsberichtes der britischen NCSC (National Cyber Security Centre) und der US-amerikanischen CISA (Cybersecurity & Infrastructure Security Agency). 

Was ist Cyclops Blink?

„Die Schadsoftware selbst ist fortschrittlich und modular, mit grundlegenden Kernfunktionen, um Geräteinformationen an einen Server zurückzusenden und das Herunterladen und Ausführen von Dateien zu ermöglichen“, erklärt das National Cyber ​​Security Centre.
„Es gibt auch Funktionen zum Hinzufügen neuer Module, während die Malware ausgeführt wird, wodurch Sandworm nach Bedarf zusätzliche Funktionen implementieren kann.“ Die Malware schreibt sich in die Firmware der befallenen Geräte ein, weshalb ihr auch ein Neustart nichts anhaben kann.
Hauptsächlich handelt es sich dabei um Netzwerkgeräte der Firma WatchGuard. Die Anpassung der Malware auf andere Geräte wird jedoch befürchtet. Das NCSC hat dazu einen Malware-Analysebericht zu Cyclops Blink veröffentlicht, der mehr Details enthält.

Was ist genau betroffen?

Dazu heißt es von WatchGuard:
„Auf Grundlage eigener Erkenntnisse und einer gemeinsam mit Mandiant durchgeführten Untersuchung sowie den vom FBI bereitgestellten Informationen ist WatchGuard zu folgendem Schluss gekommen:

• Nach aktuellen Schätzungen könnte Cyclops Blink etwa 1 Prozent der aktiven WatchGuard-Firewall-Appliances infiziert haben. Andere WatchGuard-Produkte sind davon nicht betroffen.
• Gefährdet sind nur Firewall-Appliances, bei deren Einsatz ein uneingeschränkter Management-Zugriff aus dem Internet (Unrestricted Management Access) per Konfiguration erlaubt wurde. Da im Auslieferungszustand alle Firewall-Appliances von WatchGuard mit eingeschränktem Verwaltungszugriff (Restricted Management Access) vorkonfiguriert sind, sind diese Geräte davon nicht betroffen.
• Es gibt keine Hinweise auf einen Datenabfluss bei WatchGuard oder seinen Kunden.
• Das eigene Netzwerk von WatchGuard wurde davon nicht beeinträchtigt oder infiltriert.

Da die Firewall-Appliances von WatchGuard vorrangig von Geschäftskunden genutzt werden, besteht kein Grund zur Annahme, dass Endkunden durch die Aktivitäten von Cyclops Blink beeinträchtigt wurden.“ Mehr dazu lesen Sie HIER
WatchGuard hat eng mit dem FBI, der CISA und dem NCSC zusammengearbeitet und Tools und Anleitungen bereitgestellt, um die Erkennung und Entfernung von Cyclops Blink auf WatchGuard-Geräten zu ermöglichen. WatchGuard empfiehlt allen Kunden, die beschriebenen Maßnahmen unverzüglich zu ergreifen. Dazu noch der Hinweis: Die Maßnahmen zur Beseitigung sind nur für tatsächlich infizierte Appliances erforderlich. Die Schritte zur Vorbeugung gelten jedoch für alle Kunden.

• Detaillierte Anweisungen zur Durchführung des vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“

Sandworm sei in der Lage, kritische Infrastrukturen der Ukraine lahmzulegen. Die Gruppe soll für einen massiven Angriff auf das ukrainische Stromnetz im Jahr 2015 verantwortlich sein und auch hinter der Malware NotPetya stecken, die 2017 bei einem massiven Cyberangriff gegen ukrainische Ziele eingesetzt wurde und einen Schaden von über zehn Milliarden US Dollar verursacht hat.
„Die Hacker sollen laut Informationen von FBI, NCSC und CISA Verbindungen zum russischen Militärnachrichtendienst GRU und dessen Hauptzentrum für Spezialtechnologien (GTsST) haben“, berichtet t-online.
Sandworm wird als besonders dreist und erfolgreich bei der Störung kritischer Infrastrukturen in der Ukraine und anderswo eingeschätzt.
FAZIT: Es gibt eine Schadsoftware mit dem Namen Cyclops Blink, die der russlandnahen Hackergruppe Sandworm zugeschrieben wird. Die Gruppe gilt als besonders aggressiv in Sachen Cyberangriffe und könnte kritische Infrastrukturen in der Ukraine gefährden.
„Angesichts der Ukraine-Krise sei man über die Beteiligung von Sandworm sehr besorgt“, erklärte John Hultquist, Chef-Sicherheitsexperte des US-amerikanischen Cybersicherheitsunternehmen Mandiant auf Nachfrage von t-online. Mittlerweile herrscht Krieg in der Ukraine. Mandiant hat gemeinsam mit Watchguard den Cyclops-Blink-Schädling untersucht und analysiert.

Quellen:

arstechnica.com: Russia’s most cutthroat hackers infect network devices with new botnet malware
WatchGuard: Dringende Handlungsempfehlung zu staatlich gesponserter Bonet-Attacke Cyclops Blink
WatchGuard: Detaillierte Anweisungen zur Durchführung des vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“
WatchGuard: Erkennung und Entfernung von Cyclops Blink auf WatchGuard-Geräten
NCSC: Malware-Analysebericht zu Cyclops Blink
NCSC: National Cyber Security Centre 
t-online: Warnung vor mächtiger russischer Schadsoftware im Ukraine-Konflikt
CISA: New Sandworm Malware Cyclops Blinks
ComputerWeekly.com: Russia behind dangerous Cyclops Blink malware
Proofpoint: Petya & NotPetya