Les États-Unis perturbent le botnet russe Cyclops Blink avant d’être utilisés dans des attaques

Russia

Des responsables du gouvernement américain ont annoncé aujourd’hui la perturbation du botnet Cyclops Blink contrôlé par le groupe de piratage Sandworm soutenu par la Russie avant d’être utilisé dans des attaques.

Le logiciel malveillant, utilisé par Sandworm pour créer ce botnet depuis au moins juin 2019, cible les appliances de pare-feu WatchGuard Firebox et plusieurs modèles de routeurs ASUS.

Cyclops Blink permet aux attaquants d’établir la persistance sur l’appareil via des mises à jour du micrologiciel, offrant un accès à distance aux réseaux compromis.

Ce logiciel malveillant est modulaire, ce qui facilite la mise à niveau pour cibler de nouveaux appareils et exploiter de nouveaux pools de matériel exploitable.

« Nous annonçons aujourd’hui [..] la perturbation d’un botnet mondial contrôlé par l’agence de renseignement militaire russe, communément appelée GRU », a déclaré le procureur général des États-Unis, Merrick Garland.

« Le gouvernement russe a récemment utilisé une infrastructure similaire pour attaquer des cibles ukrainiennes. Heureusement, nous avons pu perturber ce botnet avant qu’il ne puisse être utilisé.

« Grâce à notre étroite collaboration avec des partenaires internationaux, nous avons pu détecter l’infection de milliers de périphériques matériels réseau. Nous avons ensuite pu désactiver le contrôle du GRU sur ces périphériques avant que le botnet ne puisse être transformé en arme. »

Logiciels malveillants supprimés des appareils Watchguard et Asus infectés

À la suite de l’autorisation initiale du tribunal du 18 mars de cette opération du ministère de la Justice des États-Unis, le logiciel malveillant a été supprimé de tous les appareils Watchguard identifiés restants agissant en tant que serveurs de commande et de contrôle.

Le FBI a également informé les propriétaires d’appareils compromis aux États-Unis et à l’étranger par l’intermédiaire de partenaires étrangers chargés de l’application des lois avant de supprimer le logiciel malveillant Cyclops Blink. Les victimes américaines dont les coordonnées n’ont pas été trouvées ont été contactées par leurs fournisseurs à la suite d’avis émis par le FBI.

Le directeur du FBI, Chris Wray, a déclaré que le botnet avait été interrompu suite à une étroite coopération avec Watchguard lors de l’analyse du logiciel malveillant et du développement d’outils de détection et de techniques de remédiation.

« Je dois avertir qu’à mesure que nous avançons, tous les appareils Firebox qui ont agi en tant que bots peuvent rester vulnérables à l’avenir jusqu’à ce qu’ils soient atténués par leurs propriétaires. Ces propriétaires doivent donc continuer et adopter les étapes de détection et de correction de Watchguard dès que possible,  » a ajouté le directeur du FBI, Chris Wray.

« Sandworm les a réunis pour utiliser leur puissance de calcul d’une manière qui masquerait qui dirigeait vraiment le réseau et les laisserait lancer des logiciels malveillants ou orchestrer des attaques par déni de service distribué, comme le GRU l’a déjà fait pour attaquer l’Ukraine. »

WatchGuard a joué un rôle important dans l’élimination de la menace posée par Cyclops Blink, avec la publication rapide d’outils de détection et de remédiation pour protéger ses partenaires et clients suite à la divulgation du logiciel malveillant par le gouvernement, et en coopérant avec le ministère américain de la Justice dans ses efforts pour perturber le botnet. L’étroite collaboration de l’entreprise avec ses communautés de partenaires et de clients a contribué à atténuer cette menace sophistiquée parrainée par l’État, qui affectait moins de 1 % des appliances WatchGuard. — Porte-parole de WatchGuard

Le groupe de menaces soutenu par la Russie Sandworm

Ver des sables (également suivi sous les noms de Voodoo Bear, BlackEnergy et TeleBots), le groupe derrière le botnet Cyclops Blink, est un groupe de piratage parrainé par la Russie actif depuis le milieu des années 2000.

On pense que ses opérateurs sont des pirates militaires russes faisant partie de l’unité 74455 du centre principal de technologies spéciales (GTsST) du GRU russe.

Sandworm était lié au malware BlackEnergy à l’origine des pannes d’électricité en Ukraine en 2015 et 2016 [123]les attaques d’essuie-glace KillDisk contre les banques ukrainiennes et le ransomware NotPetya hautement destructeur utilisé pour infliger des milliards de dommages aux entreprises du monde entier à partir de juin 2017.

« Sandworm est la première capacité de cyberattaque russe et l’un des acteurs qui nous inquiètent le plus à la lumière de l’invasion », a déclaré John Hultquist, vice-président de l’analyse du renseignement chez Mandiant, à EZpublish-france.fr.

« Nous craignons qu’ils ne soient utilisés pour atteindre des cibles en Ukraine, mais nous craignons également qu’ils ne touchent des cibles en Occident en représailles à la pression exercée sur la Russie. »