Badan intelijen di Inggris dan AS mengungkapkan rincian malware botnet baru bernama Cyclops Blink yang dikaitkan dengan kelompok peretas Sandworm yang didukung Rusia dan digunakan dalam serangan sejak tahun 2019.
"Cyclops Blink tampaknya menjadi kerangka kerja pengganti untuk malware VPNFilter yang terpapar pada tahun 2018, yang mengeksploitasi perangkat jaringan, terutama router kantor kecil/kantor rumah (SOHO), dan perangkat penyimpanan yang terpasang ke jaringan (NAS)," kata agensi. "Serupa dengan VPNFilter, penyebaran Cyclops Blink juga muncul tanpa pandang bulu dan tersebar luas."
Penasihat bersama pemerintah berasal dari National Cyber Security Center (NCSC), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Federal Bureau of Investigation (FBI) di AS.
Sandworm, alias Voodoo Bear, adalah nama yang diberikan untuk musuh yang sangat canggih yang beroperasi di luar Rusia yang diketahui aktif setidaknya sejak 2008. Kelompok peretas telah menunjukkan fokus khusus pada entitas penargetan di Ukraina dan diduga berada di belakang Ukraina serangan sektor energi yang menyebabkan pemadaman listrik yang meluas pada akhir tahun 2015.
Aktor ancaman itu, pada Oktober 2020, secara resmi terkait dengan unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455, Direktorat Intelijen Utama Staf Umum Rusia (GRU).
VPNFilter pertama kali didokumentasikan oleh Cisco Talos pada Mei 2018, menggambarkannya sebagai "sistem malware modular canggih" yang berbagi tumpang tindih dengan malware BlackEnergy Sandworm dan memiliki kemampuan untuk mendukung pengumpulan intelijen dan operasi serangan cyber yang merusak.
Malware botnet IoT ditemukan telah menyusupi lebih dari 500.000 router di setidaknya 54 negara, menargetkan perangkat dari Linksys, MikroTik, NETGEAR, dan TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL, dan ZTE.
Pada bulan yang sama, pemerintah AS mengumumkan penyitaan dan penghapusan domain internet utama yang digunakan untuk serangan tersebut, mendesak pemilik peralatan SOHO dan NAS yang mungkin terinfeksi untuk mem-boot ulang perangkat mereka untuk sementara mengganggu malware.
Pada Januari 2021, analisis dari Trend Micro mengidentifikasi "infeksi sisa" masih tersisa di ribuan jaringan bertahun-tahun setelah menenggelamkan VPNFilter, bahkan ketika aktor Sandworm secara bersamaan memilih untuk memperlengkapi kembali malware sebagai tanggapan atas pengungkapan publik.
Cyclops Blink, sebagai penggantinya disebut, diyakini telah beraksi setidaknya sejak Juni 2019 terutama mengarahkan perhatiannya pada perangkat firewall WatchGuard, meskipun agensi mengatakan bahwa malware tersebut dapat digunakan kembali untuk menyerang arsitektur dan firmware lain.
Yang lebih memprihatinkan, malware botnet disebarkan sebagai pembaruan palsu dan mampu bertahan dari reboot dan peningkatan firmware, dengan komunikasi perintah-dan-kontrol (C2) yang difasilitasi melalui jaringan anonimitas Tor.
"Malware itu sendiri canggih dan modular dengan fungsionalitas inti dasar untuk mengirimkan informasi perangkat kembali ke server dan memungkinkan file untuk diunduh dan dieksekusi," catat para peneliti. "Ada juga fungsionalitas untuk menambahkan modul baru saat malware berjalan, yang memungkinkan Sandworm untuk mengimplementasikan kemampuan tambahan sesuai kebutuhan."
WatchGuard, dalam buletin independen, menyebutnya sebagai botnet yang disponsori negara yang memanfaatkan kerentanan keamanan yang diidentifikasi sebelumnya dalam firmware Firebox sebagai vektor akses awal. Kekurangan itu akhirnya diatasi pada Mei 2021.
"Berdasarkan perkiraan saat ini, Cyclops Blink mungkin telah mempengaruhi sekitar 1% dari peralatan firewall WatchGuard yang aktif," kata perusahaan itu. "Hanya peralatan yang telah dikonfigurasi untuk membuka manajemen ke Internet yang rentan terhadap Cyclops Blink."
Perusahaan yang berkantor pusat di Seattle ini juga merekomendasikan pelanggan untuk segera mengikuti langkah-langkah yang diuraikan dalam 4 Langkah Diagnosis dan Rencana Perbaikan Cyclops Blink untuk mendiagnosis dan menghilangkan ancaman yang ditimbulkan oleh potensi aktivitas berbahaya dari botnet.
Temuan itu muncul saat Rusia secara resmi meluncurkan operasi militer skala penuh untuk menyerang Ukraina, sama seperti infrastruktur TI-nya dilumpuhkan oleh serangkaian penghapus data dan serangan penolakan layanan (DDoS) terdistribusi.