De nombreuses autorités de sécurité internationales et le fabricant WatchGuard mettent en garde contre le botnet Cyclops Blink du cybergang russe Sandworm, également connu sous le nom de Voodoo Bear. Il remplace désormais le botnet VPNFilter et infiltre les pare-feux WatchGuard avec Cyclops Blink. Ceux-ci servent entre autres aux cybercriminels de serveurs Comand-and-Control (C2), mais aussi de drones dans le botnet.
WatchGuard a mis à disposition un guide avec des outils permettant aux administrateurs de détecter et d’éliminer une infection. Le fabricant estime que jusqu’à un pour cent de tous les pare-feux WatchGuard sont concernés. Ceux-ci devraient toutefois avoir activé l’accès administratif illimité à partir d’Internet, contrairement à la configuration standard, ce qui permettrait l’infestation par le malware. Le fabricant souligne qu’il n’existe aucun cas connu de fuite de données chez les clients ou chez WatchGuard lui-même après l’infection.
Sommaire
Cybergang d’État
L’agence de sécurité américaine CISA fournit des informations plus détaillées. En collaboration avec le National Cyber Security Centre (NCSC) britannique, la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI), elle a découvert que le groupe Sandworm (Voodoo Bear) était passé du logiciel de filtrage VPN au maliciel Cyclops-Blink. Sandworm serait lié aux services secrets militaires russes GRU. Selon le CISA, ce groupe criminel est à l’origine de cyberattaques contre l’approvisionnement en électricité de l’Ukraine en 2015 et Industroyer en 2016 (une panne d’électricité d’une heure dans certaines parties de Kiev), du malware NotPetya en 2017, d’attaques contre les Jeux olympiques et paralympiques d’hiver de 2018 en Corée et de cyberattaques contre la Géorgie en 2019.
VPNFilter avait temporairement infecté près de 500 000 routeurs et NAS, principalement des modèles SOHO. La plupart des appareils ont été touchés en Ukraine, mais aussi environ 30 000 en Allemagne. Cyclops Blink, un cadre modulaire de logiciels malveillants, est utilisé depuis juin 2019. Il est surtout présent sur les appareils WatchGuard. Mais Sandworm pourrait probablement le compiler pour d’autres routeurs et firmwares, prévient la CISA dans un message de sécurité.
Cyclops Blink
Le malware serait avancé et modulaire. Les fonctions principales comprennent la transmission d’informations sur l’appareil à un serveur de contrôle ainsi que le téléchargement et l’exécution d’autres fichiers. De plus, de nouveaux modules peuvent être ajoutés pendant que le malware est actif, ce qui permet à Sandworm d’ajouter d’autres capacités nécessaires selon les besoins. Après l’infection, le parasite s’installe comme une mise à jour du micrologiciel pour résister aux redémarrages.
La communication dans le botnet est sécurisée par TLS avec des clés et des certificats individuels. Sandworm gère les drones en contactant les serveurs de commande et de contrôle via le réseau TOR.
Agir rapidement
Outre WatchGuard, le NCSC fournit également un aperçu du malware avec une liste d’indices de compromission (Indicators of compromise, IOC). Les administrateurs d’un pare-feu WatchGuard devraient agir rapidement en raison de l’attaque russe contre l’Ukraine et vérifier si l’administration illimitée à partir d’Internet a été activée et si leur propre pare-feu a été infiltré. Les administrateurs devraient alors supprimer immédiatement une éventuelle infestation en suivant les instructions de WatchGuard.