Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 23. februar 2022 | Emne: Sikkerhed 
Cybersikkerhed: Lad os blive taktiske. Se nu
Hackere, der er knyttet til det russiske militær, udnytter sikkerhedssårbarheder i firewalls til at kompromittere netværket og inficere dem med malware, hvilket giver dem mulighed for at få fjernadgang.
En advarsel fra UK National Cyber Security Center (NCSC), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og Federal Bureau of Investigation (FBI) har beskrevet den nye malware, Cyclops Blink, og tilskriver den til Sandworm, en offensiv hackingoperation, som de tidligere har knyttet til Ruslands GRU.
Analyse foretaget af NCSC beskriver Cyclops Blink som et “et yderst sofistikeret stykke malware”, der er blevet “professionelt udviklet”.
p>
Cyclops Blink ser ud til at være en erstatning for VPNFilter, malware, som blev brugt af statsforbundne russiske hackergrupper i udbredte angreb, der blev brugt til at kompromittere netværksenheder, overvejende routere, for at få adgang til netværk.
Ifølge NCSC , CISA, FBI og NSA, Cyclops Blink har været aktiv siden mindst juni 2019, og ligesom VPNFilter før det, beskrives målretningen som “vilkårlig og udbredt” med evnen til at opnå vedvarende fjernadgang til netværk.
< p>Det kan også uploade og downloade filer fra inficerede maskiner, og det er modulopbygget, hvilket gør det muligt at tilføje ny funktionalitet til malware, som allerede kører.
SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)
Cyberangrebene er primært fokuserede på WatchGuard firewall-enheder, men agenturerne advarede om, at Sandworm er i stand til at genbruge malwaren til at sprede den via andre arkitekturer og firmware.
Cyclops Blink fortsætter ved genstart og under hele den legitime firmwareopdateringsproces. Den er rettet mod WatchGuard-enheder, der blev omkonfigureret fra producentens standardindstillinger til at åbne fjernstyringsgrænseflader til ekstern adgang.
En infektion betyder ikke, at organisationen er det primære mål, men det er muligt, at inficerede maskiner kan bruges at udføre yderligere angreb.
NCSC opfordrer indtrængende den berørte organisation til at tage skridt til at fjerne malwaren, som er blevet detaljeret beskrevet af WatchGuard.
“Ved at arbejde tæt sammen med FBI, CISA, DOJ og UK NCSC, har WatchGuard undersøgt og udviklet en afhjælpning af Cyclops Blink, et sofistikeret statssponsoreret botnet, som kan have påvirket et begrænset antal WatchGuard firewall-apparater,” sagde en WatchGuard udmelding.
“WatchGuard-kunder og -partnere kan eliminere den potentielle trussel fra ondsindet aktivitet fra botnettet ved straks at indføre WatchGuards 4-trins Cyclops Blink-diagnose og afhjælpningsplan,” tilføjede den.
NCSC advarede om, at alle adgangskoder, der findes på en enhed, der er inficeret med Cyclops Blink, bør antages at være kompromitteret og bør ændres.
Andre råd om beskyttelse af netværk mod cyberangreb omfatter at undgå eksponering af administrationsgrænseflader på netværksenheder til internettet, ved at holde enheder opdateret med de nyeste sikkerhedsrettelser og bruge multi-faktor-godkendelse.
NCSC bemærker, at rådgivningen ikke er direkte forbundet med den nuværende situation i Ukraine.
MERE OM CYBERSIKKERHED
Cybersikkerhed: 11 trin at tage, når trusselsniveauet stigerBosser er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacketUkrainekrise: Russiske cyberangreb kan påvirke organisationer over hele verden, så tag handling nuCybersikkerhed: Mange ledere vil bare ikke have at forstå risicieneSikkerhedscenter i Storbritannien opfordrer virksomheder til at øge deres forsvar efter cyberangreb på Ukraine Security TV | Datastyring | CXO | Datacentre