Det amerikanska justitiedepartementet genomförde i mars en operation som framgångsrikt tog bort skadlig programvara känd som “Cyclops Blink” från sårbara internetanslutna brandväggar, meddelade departementet på onsdagen. Operationen störde kontrollen som Ryska federationens huvudunderrättelsedirektorat (GRU) hade över ett globalt botnät med tusentals infekterade enheter.
Cyclops Blink Malware riktade sig specifikt mot WatchGuard och Asus nätverksenheter. En hotaktör känd som Sandworm (som den amerikanska regeringen tidigare tillskrev GRU) använde skadlig programvara för kommando och kontroll av det underliggande botnätet. Genom att inaktivera kommando- och kontrollmekanismen kunde justitiedepartementet avskilja Sandworm från nätverket av bots.
WatchGuard och Asus-enheter som fungerade som bots kan dock förbli sårbara för Sandworm om enhetsägare inte vidtar de åtgärder som WatchGuard och Asus rekommenderar, varnade justitiedepartementet.
Olika DOJ-byråer, såväl som US National Security Agency och Storbritanniens National Cyber Security Centre, släppte först en råd den 23 februari som identifierar skadlig programvara Cyclops Blink. Rådgivningen förklarade att skadlig programvara verkade ha dykt upp redan i juni 2019, som den uppenbara efterträdaren till ett annat Sandworm-botnät som DOJ tog ner 2018.
Samma dag som rådgivandet släppte WatchGuard detekterings- och saneringsverktyg för användare av WatchGuard-enheter. Senare släppte Asus sin egen vägledning för att hjälpa komprometterade Asus-enhetsägare. I mitten av mars förblev dock en majoritet av de ursprungligen komprometterade enheterna infekterade.
DOJ:s efterföljande operation tog bort skadlig programvara från alla återstående identifierade kommando- och kontrollenheter. Operationen använde direkt kommunikation med Sandworm malware. Förutom att samla in de underliggande kommando-och-kontrollenheternas serienummer genom ett automatiserat skript och kopiera skadlig programvara, sökte inte DOJ efter eller samlade in information från relevanta offernätverk, sa avdelningen. Dessutom involverade operationen ingen FBI-kommunikation med botenheter.
DOJ-operationen visade “avdelningens engagemang för att störa nationalstatshackning med hjälp av alla juridiska verktyg som står till vårt förfogande”, sa assisterande justitieminister Matthew G. Olsen i ett uttalande. “Genom att arbeta nära WatchGuard och andra statliga myndigheter i det här landet och Storbritannien för att analysera skadlig programvara och utveckla verktyg för upptäckt och åtgärdande, visar vi tillsammans styrkan som offentlig-privata partnerskap ger vårt lands cybersäkerhet.”
