Les États-Unis mettent fin à l’opération de botnet russe Cyclops Blink

Le ministère américain de la Justice (DoJ), en collaboration avec le FBI et diverses autres autorités, a réussi à perturber le fonctionnement d’un botnet russe utilisé par les services de renseignement de Moscou pour distribuer le logiciel malveillant Cyclops Blink.

Le malware Cyclops Blink ciblait le pare-feu WatchGuard et plus tard les routeurs Asus, en les utilisant comme infrastructure de commande et de contrôle (C2) pour un botnet sous-jacent. C’était un outil de la Direction principale du renseignement (GRU) de Russie et utilisé par le célèbre groupe de menace persistante avancée (APT) Sandworm (alias Voodoo Bear).

Successeur d’un précédent malware Sandworm connu sous le nom de VPNFilter, Cyclops Blink était particulièrement dangereux car il ciblait spécifiquement les pare-feu sur les périmètres du réseau, de sorte qu’une fois exploité avec succès, il permettait à Sandworm de mener des activités malveillantes sur toutes les machines situées derrière le pare-feu.

Cependant, il est important de noter que dans le cas de WatchGuard, il ne ciblait que les appareils qui avaient été reconfigurés à partir de leurs sessions par défaut d’usine pour permettre l’accès externe aux interfaces de gestion à distance , ce qui représenterait moins de 1% de la base installée de l’entreprise.

Son existence a été révélée dans un avis conjoint du National Cyber Security Centre (NCSC) du Royaume-Uni et de son équivalent américain, la Cybersecurity and Infrastructure Security Agency (CISA) le 23 février 2022, quelques heures seulement avant que la Russie ne commence son attaque contre l’Ukraine.

« Cette suppression autorisée par le tribunal des logiciels malveillants déployés par le GRU russe démontre l’engagement du département à perturber le piratage des États-nations en utilisant tous les outils juridiques à notre disposition », a déclaré Matthew Olsen, procureur général adjoint à la Division de la sécurité nationale du DoJ.

« En travaillant en étroite collaboration avec WatchGuard et d’autres agences gouvernementales de ce pays et du Royaume-Uni pour analyser les logiciels malveillants et développer des outils de détection et de correction, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Le département reste déterminé à faire face et à perturber le piratage des États-nations, sous quelque forme que ce soit.

L’opération a vu les autorités copier et supprimer le malware Cyclops Blink des pare-feu WatchGuard vulnérables connectés à Internet que Sandworm utilisait pour C2 du botnet sous-jacent. Ils ont également fermé les ports de gestion externes que Sandworm utilisait pour accéder à ses appareils C2, ce qui a effectivement coupé les appareils victimes du contrôle de Sandworm et neutralisé le botnet.

Les Américains ont déclaré qu’ils avaient exploité les communications directes avec le logiciel malveillant Cyclops Blink sur le pare-feu C2 et les routeurs qu’il avait identifiés, et à part collecter leurs numéros de série et copier le logiciel malveillant, ils n’ont pas autrement recherché ou collecté d’autres informations sur les réseaux de victimes qu’ils ont trouvés. Il n’a pas non plus communiqué avec aucun des robots sous-jacents réels.

Le DoJ a déclaré que l’attention rapide de WatchGuard sur le problème, sa publication d’outils de détection et de correction et l’application rapide de correctifs par les utilisateurs avaient été très efficaces. Les efforts ultérieurs d’Asus pour atténuer la menace ont également été efficaces et, ensemble, les deux entreprises ont probablement réussi à remédier à des milliers d’appareils compromis.

Mais dans le même temps, les appareils WatchGuard et Asus dont les propriétaires n’ont pas encore suivi les étapes de détection et de correction recommandées risquent toujours d’être compromis par Sandworm. Les utilisateurs d’appareils WatchGuard et Asus qui apprennent Cyclops Blink pour la première fois doivent consulter les avis pertinents et suivre les conseils contenus. Les conseils de WatchGuard peuvent être trouvés ici, et ceux d’Asus ici.