FBI zerschlägt Cyclops Blink-Botnet der für den russischen Geheimdiensts (GRU) arbeitenden Sandworm Gruppe

Publiziert am 7. April 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Das US-Justizministerium (DOJ) hat gerade die Zerschlagung des Cyclops Blink-Botnetzes bekannt gegeben, welches der Cybergruppe Sandworm zugeschrieben wird. Sandworm ist eine Bezeichnung für eine Hackergruppe, die für den russischen Geheimdiensts (GRU) arbeitet. Hier die aktuell verfügbaren Informationen, die vom DOJ veröffentlicht wurden.

Anzeige

Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden, der sich auf eine Pressekonferenz des US-Justizministeriums bezieht.

In dieser Pressemitteilung des DOJ findet sich mehr an Informationen. Demnach ist es dem FBI bereits im März 2022 nach einem Gerichtsbeschluss gelungen, das dem Geheimdienst der Russischen Föderation (GRU) und speziell dessen Sandworm-Gruppe zugeschrieben Cyclops Blink-Botnetz zu unterbrechen. In der im März 2022 durchgeführten Operation wurde das Cyclops Blink-Botnet kopiert und die Malware von den Befehls- und Kontrollgeräten des Botnetzes entfernt. Damit soll die Kontrolle des GRU über Tausende infizierter Geräte weltweit unterbrochen sein.

Sandworm Cyclops Blink-Botnet zerstört

Bei der gerichtlich genehmigten wurde ein zweistufiges globales Botnetz mit Tausenden von infizierten Netzwerkhardware-Geräten zerstört. Das Botnet stand unter der Kontrolle des Bedrohungsakteurs, der Sicherheitsforschern unter dem Namen Sandworm bekannt ist und den die US-Regierung zuvor dem Hauptnachrichtendienst des Generalstabs der Streitkräfte der Russischen Föderation (GRU) zugeschrieben hat.

Bei der Operation wurde Malware von anfälligen, mit dem Internet verbundenen Firewall-Geräten kopiert und entfernt, die Sandworm für die Steuerung des zugrunde liegenden Botnetzes nutzte. Obwohl die Operation keinen Zugriff auf die Sandworm-Malware auf den Tausenden von Opfergeräten weltweit, den so genannten "Bots", beinhaltete, wurden diese Bots durch die Deaktivierung des C2-Mechanismus von der Kontrolle durch die Sandworm-C2-Geräte getrennt. Die Opfer müssen zusätzliche Maßnahmen ergreifen, um die Schwachstelle zu beseitigen und zu verhindern, dass böswillige Akteure weiterhin ungepatchte Geräte ausnutzen.

Die Aktion gelang nach der gerichtlichen Genehmigung durch die enge Zusammenarbeit mit WatchGuard und anderen Regierungsbehörden in den USA und im Vereinigten Königreich, die mit der Analyse der Schadsoftware und der Entwicklung von Erkennungs- und Abhilfemaßnahmen befasst waren.

Hintergrund zum Cyclops Blink-Botnet

Am 23. Februar veröffentlichten das Nationale Cyber-Sicherheitszentrum des Vereinigten Königreichs, die Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums, das FBI und die Nationale Sicherheitsbehörde einen Hinweis auf die Cyclops Blink-Malware, die auf Netzwerkgeräte der Hersteller WatchGuard Technologies Inc. (WatchGuard) und ASUSTek Computer Inc. (ASUS) verbreitet wird (siehe auch die Artikel am Beitragsende).

Mittlerweile wird diese Malware bzw. das Botnet der staatlichen Hackergruppe Sandworm (Voodoo Bear) zugeschrieben. Ziel der Angriffe ist es, Spionage, Denial-of-Service-Angriffe und Datenvernichtung zu betreiben. Das Cyclops Blink-Botnet kann vertrauliche Daten stehlen und andere Netzwerke angreifen. Denn die oben erwähnten Netzwerkgeräte sind ja Bestandteile des Computernetzwerks eines Opfers.

Anzeige

Damit ist die Sandworm-Gruppe potenziell in der Lage, bösartige Aktivitäten gegen alle Computer innerhalb dieser Netzwerke durchzuführen. Die Malware scheint bereits im Juni 2019 aufgetaucht zu sein (siehe Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich) und ist der offensichtliche Nachfolger eines anderen Sandworm-Botnetzes namens VPNFilter, das das US-Justizministerium im Jahr 2018 durch eine gerichtlich genehmigte Operation zerstörte.

Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Geräte des Netzwerkgeräteherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Geräten so zu missbrauchen, dass sie persistent ist, d. h. sie überlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls.

Ähnliche Artikel
Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich
ASUS warnt: Cyclops Blink Botnet zielt auf Router
Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls
Vorbereitung auf die eskalierende Cyberkrise

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu FBI zerschlägt Cyclops Blink-Botnet der für den russischen Geheimdiensts (GRU) arbeitenden Sandworm Gruppe

  1. janil sagt:
    7. April 2022 um 07:01 Uhr

    Erstaunlich, was so alles machbar ist. Aber gut das wieder ein Botnet hinüber ist.
    Die Frage ist allerdings, wie schnell die nächsten entdeckt werden können. Denn das sie kommen, ist wohl anzunehmen.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.