Los usuarios de WatchGuard deben estar en alerta máxima por una nueva forma sofisticada de malware llamada Cyclops Blink, que se ha atribuido al actor de amenazas persistentes avanzadas (APT) Sandworm (también conocido como Voodoo Bear, BlackEnergy), parte del Centro principal de tecnologías especiales de GRU de Rusia, o GTsST, el mismo grupo que interrumpió la red eléctrica ucraniana en 2015 y lanzó los disruptivos ataques NotPetya dos años después.
Según un aviso publicado por el Centro Nacional de Seguridad Cibernética (NCSC) y su socio estadounidense, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Cyclops Blink es un marco de malware modular a gran escala que, por ahora, solo afecta a los dispositivos de red WatchGuard. Se ha rastreado desde 2019 y es probable que sea una especie de sucesor del malware VPNFilter vinculado a Sandworm, que se interrumpió en mayo de 2018.
VPNFilter también era un malware modular, implementado en etapas, que permitía la manipulación del tráfico, la destrucción de dispositivos anfitriones, la explotación de dispositivos descendentes y la supervisión de protocolos Modbus SCADA, algo en lo que Sandworm está especialmente interesado. Se usó amplia e indiscriminadamente contra objetivos en Ucrania y Corea del Sur en la época de los Juegos Olímpicos de Invierno de 2018, antes de su interrupción por parte de EE. UU. Desde entonces, Sandworm parece haber abandonado en su mayoría este proyecto.
Al igual que VPNFilter, Cyclops Blink se ha utilizado ampliamente contra objetivos de interés para Rusia, hasta ahora solo contra dispositivos WatchGuard, pero el NCSC y CISA evalúan que es muy probable que Sandworm pueda compilarlo para apuntar a otras arquitecturas y firmwares.
Los dispositivos WatchGuard vulnerables se habrán reconfigurado a partir de la configuración predeterminada de fábrica para abrir interfaces de administración remota al acceso externo.
Después de la explotación, Cyclops Blink generalmente llegará en una actualización de firmware que logra la persistencia una vez que se reinicia el dispositivo de destino, lo que dificulta su eliminación. Luego, los dispositivos de las víctimas se organizan en clústeres, y cada implementación tiene una lista de direcciones IP y puertos de comando y control (C2) que puede usar; nuevamente, hasta la fecha, todos estos han sido utilizados por firewalls WatchGuard comprometidos.
Los clientes y servidores de Cyclops Blink utilizan claves y certificados generados individualmente para comunicarse, protegidos por Transport Layer Security (TLS), todo controlado mediante la conexión a la capa C2 a través de la red Tor.
Como se señaló anteriormente, el malware persiste al reiniciar y durante todo el proceso legítimo de actualización del firmware, por lo que las organizaciones afectadas deberán tomar medidas para eliminarlo. Si se encuentra infectado, también asuma que las contraseñas presentes en el firewall están comprometidas y reemplácelas, luego asegúrese de que las interfaces de administración de sus dispositivos de red no estén expuestas a Internet.
El NCSC enfatizó que una infección de Cyclops Blink no significa que su organización sea el objetivo principal, pero puede ser seleccionada para serlo, o sus dispositivos podrían estar siendo utilizados para atacar a los objetivos reales.
WatchGuard ha proporcionado más orientación y herramientas que se pueden encontrar aquí, mientras que el NCSC también ha publicado su propio análisis que se puede encontrar aquí.
Un portavoz de WatchGuard dijo: “Según las estimaciones actuales, Cyclops Blink puede haber afectado aproximadamente al 1 % de los dispositivos de firewall activos de WatchGuard; ningún otro producto de WatchGuard se ve afectado.
“No hay evidencia de exfiltración de datos de WatchGuard o sus clientes [and] La propia red de WatchGuard no se ha visto afectada ni violada”.
John Hultquist, vicepresidente de Mandiant Threat Intelligence, que ayudó en la investigación de Cyclops Blink, dijo que Sandworm era un grupo muy preocupante dado su historial anterior de actividad maliciosa.
“La última revelación sobre Sandworm es un recordatorio oportuno de que siguen siendo un adversario capaz e inteligente. A la luz de la crisis en Ucrania, estamos muy preocupados por este actor, que ha superado a todos los demás que rastreamos en términos de ataques cibernéticos agresivos y operaciones de información que ha llevado a cabo”, dijo.
“Ningún otro actor ruso ha sido tan descarado y exitoso en la interrupción de la infraestructura crítica en Ucrania y en otros lugares. Con suerte, el momento de esta divulgación nos permitirá defendernos mejor contra este actor de amenazas a medida que las relaciones entre Rusia y otros se deterioran y la probabilidad de ataques cibernéticos más allá de Ucrania continúa creciendo”.