ロシアが支援するハッキンググループの新しいボットネットマルウェア「Cyclops Blink」を英国と米国が特定し警告

アメリカとイギリスのサイバーセキュリティ当局および法執行機関が、ロシア政府が支援するハッカー集団のサンドワーム(74455部隊)が利用している新しいマルウェアの「Cyclops Blink」について警告しています。

New Sandworm malware Cyclops Blink replaces VPNFilter – NCSC.GOV.UK
https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter

Important Detection and Remediation Actions for Cyclops Blink State-Sponsored Botnet | WatchGuard Technologies
https://www.watchguard.com/wgrd-news/blog/important-detection-and-remediation-actions-cyclops-blink-state-sponsored-botnet

Russia’s most cutthroat hackers infect network devices with new botnet malware | Ars Technica
https://arstechnica.com/information-technology/2022/02/russias-most-cut-throat-hackers-infect-network-devices-with-new-botnet-malware/

US, UK link new Cyclops Blink malware to Russian state hackers
https://www.bleepingcomputer.com/news/security/us-uk-link-new-cyclops-blink-malware-to-russian-state-hackers/

2019年6月以降、サンドワームのオペレーターがボットネットを作成することを支援する「Cyclops Blink」というマルウェアが、WatchGuard FireboxやSOHOネットワーク上のデバイスを標的に動作していることが確認されています。

イギリスの国家サイバーセキュリティセンターであるNCSCはCyclops Blinkについて、「Cyclops Blinkと名づけられたマルウェアは、2018年に公開されたマルウェア・VPNFilterに代わるもので、サンドワームがネットワークにリモートアクセスできるようになる可能性があるというものです」「Cyclops BlinkはVPNFilterと共通しており、展開も無差別に広がっているように見えます」と警告。

NCSCによると、Cyclops Blinkは主にWatchGuardデバイスにデプロイしていますが、サンドワームは他のアーキテクチャやファームウェア向けにCyclops Blinkをコンパイルできる可能性があるとのことです。

なお、標的となっているWatchGuardの開発元は、Cyclops Blinkが主にビジネス顧客によって使用される端末でアクティブなWatchGuardファイアウォールアプライアンスの約1％に影響を与えた可能性があると記しています。

NCSC、FBI、CISA、NSAといった機関による分析によると、Cyclops Blinkはコマンド＆コントロールサーバーとの間でファイルをアップロード/ダウンロードし、端末情報を収集して盗み出します。Cyclops Blinkにはマルウェアを更新するために特別に開発されたモジュールも付属しているそうです。Cyclops Blinkは感染した端末の正当なファームウェア更新チャネルを利用して、悪意のあるコードを挿入し、再パックされたファームウェアイメージを展開することで、侵害されたシステムへのアクセスを維持します。