L’FBI ha avuto accesso remoto e disinfettato i dispositivi situati negli Stati Uniti che eseguono un nuovo potente ceppo di malware botnet di stato russo. Queste autorità hanno aggiunto che il Cremlino stava usando il malware per effettuare hacking furtivi dei suoi avversari.
I dispositivi infetti erano principalmente costituiti da apparecchi firewall di WatchGuard e, in misura minore, dispositivi di rete di Asus. Entrambi i produttori hanno recentemente rilasciato avvisi che forniscono raccomandazioni per l’indurimento o la disinfezione dei dispositivi infettati dalla botnet, conosciuta come Cyclops Blink. Si tratta dell’ultimo malware botnet realizzato dall’apt russo Sandworm, che è tra le più elitarie e distruttive organizzazioni di hacking sponsorizzate dallo stato al mondo.
WatchGuard ha detto al momento che il malware ha infettato circa l’1% dei dispositivi di rete che ha fatto.
Cyclops Blink era un sostituto di un altro pezzo di malware progettato da Sandworm, noto come VPNFilter, che i ricercatori hanno scoperto nel 2018 infettando 500.000 router basati negli Stati Uniti prodotti da Linksys, MikroTik, Netgear, QNAP e TP-Link.
L’FBI ha rapidamente sequestrato un server che Sandworm stava usando per infettare i dispositivi con VPNFilter. Una volta che questo è stato completato, l’ufficio ha istruito il pubblico a riavviare i loro dispositivi. Con questo, la botnet è stata smantellata.
Cyclops Blink era il tentativo di Sandworm di riprendere il controllo persistente dei dispositivi di rete, e il malware ha quasi funzionato. I procuratori federali hanno scritto in una relazione:
Come con VPNFilter, gli attori di Sandworm hanno distribuito Cyclops Blink sui dispositivi di rete in tutto il mondo in un modo che sembra essere indiscriminato; cioè, l’infezione degli attori di Sandworm di qualsiasi particolare dispositivo sembra essere stata guidata dalla vulnerabilità del dispositivo al malware, piuttosto che uno sforzo concertato per colpire quel particolare dispositivo o il suo proprietario per altre ragioni. Gli attori di Sandworm lo hanno fatto attraverso lo sfruttamento delle vulnerabilità del software in vari dispositivi di rete, principalmente i dispositivi firewall WatchGuard. In particolare, i dispositivi WatchGuard sono vulnerabili a un exploit che consente l’accesso remoto non autorizzato ai pannelli di gestione di tali dispositivi.
La botnet persisteva anche dopo il 23 febbraio. Questo è quando WatchGuard, in coordinamento con l’FBI, ha rilasciato le istruzioni per riportare i dispositivi disinfettati ad uno stato pulito e configurare i dispositivi per impedire l’accesso illimitato alle interfacce di gestione. WatchGuard ha anche risolto una vulnerabilità tracciata come CVE-2022-23176, che ha aperto il buco di bypass dell’autenticazione quando i server sono stati configurati per consentire l’accesso illimitato alla gestione da indirizzi IP esterni. Nonostante il CVE rilasciato quest’anno, WatchGuard ha dichiarato che comunque la vulnerabilità è stata completamente affrontata nel maggio 2021.
Dopo l’avviso di febbraio, tuttavia, il numero di dispositivi nella botnet Cyclops Blink è sceso solo del 39%. In risposta, l’FBI ha fatto un passo avanti rispetto a quanto fatto con VPNFilter nel 2018. In un’operazione clandestina di takedown mascherata da un mandato federale, gli agenti hanno acceduto in remoto ai dispositivi WatchGuard infetti collegati a 13 indirizzi IP con sede negli Stati Uniti. Da lì, gli agenti:
- Confermato la presenza del malware Cyclops Blink
- Hanno registrato il numero di serie che Cyclops Blink ha usato per tracciare i suoi bot
- Copiato un elenco di altri dispositivi infettati da Cyclops Blink
- Disinfettato le macchine
- Chiuso le porte di gestione rivolte a Internet per impedire a Sandworm di avere accesso remoto
Non è la prima volta che l’FBI accede in remoto a un dispositivo infetto per rimuovere una minaccia, ma è un primo esempio. Molti professionisti della sicurezza hanno sollevato preoccupazioni che tali mosse hanno il potenziale di causare danni se tali azioni accidentalmente interrompono un processo mission-critical. I sostenitori della privacy hanno anche denunciato l’esposizione che tali azioni possono avere sulle informazioni dei privati.
Jake Williams, un ex hacker per la NSA e ora direttore esecutivo di Cyber Threat Intelligence presso la società di sicurezza SCYTHE, ha espresso le stesse preoccupazioni in questo caso. Ha detto che i passi specifici che l’FBI ha fatto, tuttavia, lo hanno fatto sentire più tranquillo. In un messaggio, ha scritto:
Penso che sia sempre rischioso per le FO [forze dell’ordine] modificare qualsiasi cosa su un server che non controllano. Tuttavia, in questo caso, non credo che ci fosse un rischio significativo, quindi i benefici superavano chiaramente i rischi. Molti citeranno argomenti di pendenza scivolosa come ragioni per cui questa particolare azione è stata impropria, ma penso che sia sbagliato. Il fatto che l’FBI si sia coordinata con un’impresa privata (WatchGuard) in questa azione è particolarmente significativo.
Il rapporto dell’FBI dice che, lo scorso settembre, gli agenti hanno intervistato i rappresentanti di una società che gestisce un dispositivo infetto sulla sua rete. L’azienda ha permesso agli agenti di prendere un’immagine forense della macchina e di “osservare prospetticamente il traffico di rete associato all’apparecchio firewall“.
