Descrizione e potenziali impatti
La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), la National Security Agency (NSA) e la National Cyber Security Centre (NCSC) UK hanno osservato la recente diffusione del malware modulare Cyclops Blink – da parte del noto gruppo denominato Sandworm (alias Voodoo Bear) – verso organizzazioni dislocate anche sul territorio italiano.
Nel dettaglio, Cyclops Blink risulta distribuito verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo, che garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati.
I dispositivi compromessi vengono successivamente raggruppati in cluster, che comunicano con i server di Comando e Controllo (C&C) tramite la rete ToR utilizzando il protocollo TLS (Transport Layer Security).
Per eventuali ulteriori approfondimenti si consiglia di consultare l’analisi, presente nella sezione Riferimenti.
Azioni di Mitigazione
WatchGuard, in collaborazione con CISA, FBI, NSA e NCSC UK, ha reso disponibili linee guida ed un tool utili per l’identificazione e la rimozione di Cyclops Blink sui dispositivi interessati. Si consiglia agli utenti ed alle organizzazioni di seguire tali indicazioni, fornite dal vendor, per aggiornare i dispositivi interessati e rimuovere l’eventuale codice malevolo.
Si consiglia inoltre:
- di modificare le password di accesso alle interfacce di controllo dei dispositivi interessati;
- di implementare la segmentazione della rete.
Riferimenti
Riferimenti
https://detection.watchguard.com/
https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf
Fonte: https://www.csirt.gov.it/