Cyclops Blink, malware apoiado pelo governo da Rússia?

gurinho

À medida que o conflito entre a Rússia e a Ucrânia se intensifica nessas horas de medo, surgem notícias de um malware chamado "Cyclops Blink", que pertence a um grupo criminoso apoiado pelo governo russo.

O anúncio foi feito pelo centro de segurança cibernética do Reino Unido, a NSA e o FBI por meio de um relatório conjunto divulgado ontem. O documento menciona Sandworm ou Voodoo Bear, um grupo de cibercriminosos russos que supostamente produziu novos malwares. De acordo com o relatório dos serviços de segurança, a equipe é apoiada financeiramente pelo governo russo.

Cyclops Blink: um novo malware da Rússia

Os serviços de segurança cibernética britânicos e americanos divulgaram um relatório detalhando o Cyclops Blink, um novo malware que parece vir da Rússia . Não só isso: a equipe de criminosos por trás do malware seria até apoiada pelo governo russo, segundo o documento divulgado pela inteligência. Um detalhe que, chegando à situação atual, nem surpreende tanto.

Cyclops Blink malware na rússia

A informação divulgada fala de um novo framework para o malware VPNFilter , identificado pela primeira vez em 2018. O Cyclops Blink é, portanto, uma evolução do anterior, ainda mais agressivo e difícil de parar. De acordo com os resultados da pesquisa, esse novo framework teria sido desenvolvido em junho de 2019, mas só agora identificado.

Ciclope Blink: como funciona?

O malware se apresenta como um executável Linux ELF que consiste em um componente principal e vários módulos adicionais executados como processos "filhos". O executável traz consigo alguns módulos padrão que permitem que invasores baixem ou carreguem arquivos na máquina afetada e acessem as informações do sistema. Os cibercriminosos também podem desenvolver e adicionar novos módulos por meio de um servidor de Comando e Controle (C2).

Quando o núcleo ataca a máquina, ele se disfarça como um processo do kernel, agindo imperturbável junto com os outros threads em execução. Feito isso, o malware modifica o iptables para permitir a comunicação com os servidores C2. Após essa fase de inicialização, é estabelecida a transmissão de dados entre o núcleo e o servidor do invasor, que enviará os comandos a serem executados para os módulos do malware.

Como você pode se proteger? As dicas para prevenir e mitigar os danos desse ataque são mais ou menos sempre as mesmas : preste atenção aos e-mails de phishing, evite executar arquivos suspeitos, mantenha dispositivos e sistemas de segurança atualizados e proteja as interfaces de gerenciamento inserindo-as atrás de redes privadas. .

A WatchGuard publicou uma série de etapas a serem seguidas no caso de uma infecção pelo Cyclops Blink. A primeira coisa a fazer é, obviamente, desconectar-se da rede em que você está para evitar que o malware infecte outros dispositivos. Conforme relatado pelo documento de segurança cibernética, se um dispositivo foi afetado pelo malware, é quase certo que todas as senhas contidas nele estão compactadas . É imprescindível remediar imediatamente e alterar todas as senhas de acesso, habilitando a autenticação multifator caso ainda não estivesse ativa.

Os outros ataques do grupo criminoso

Sandworm, o grupo criminoso por trás do Cyclops Blink, não é estranho ao mundo dos hackers maliciosos . Os serviços de segurança britânicos e americanos atribuem vários malwares e ataques recentes à equipe russa. Entre estes estão:

  • o malware BlackEnergy, que atingiu a rede elétrica ucraniana em 2015;
  • o Industroyer, que teve como alvo a rede elétrica da Ucrânia em 2016;
  • NotPetya, uma variante pertencente à família Petya, ativa na Europa entre 2016 e 2017;
  • o ataque aos Jogos Olímpicos de Inverno de PyeongChange de 2018;
  • os numerosos ataques na Geórgia em 2019.

Nos últimos dias, muitos sites institucionais ucranianos já haviam sido alvos do malware. Ainda não está claro se os ataques foram um aviso em vista da iminente ofensiva militar ou se o grupo agiu sozinho ; o que é certo é que os cibercriminosos são a favor da escolha do Kremlin.

Artigo Cyclops Blink, malware apoiado pelo governo da Rússia? vem da Tech CuE | Engenharia de close-up .