Cyclops Blink, dalla Russia un malware sostenuto dal governo?
Mentre il conflitto tra Russia e Ucraina imperversa in queste ore di paura, emerge la notizia di un malware chiamato “Cyclops Blink” che apparterrebbe a un gruppo criminale supportato dal governo russo.
Ad annunciarlo sono il centro di cybersicurezza del Regno Unito, l’NSA e l’FBI tramite un report congiunto pubblicato ieri. Nel documento si parla di Sandworm o Voodoo Bear, un gruppo di cybercriminali russo che avrebbe prodotto un nuovo malware. Secondo il report dei servizi di sicurezza, il team sarebbe sostenuto economicamente dal governo russo.
Cyclops Blink: dalla Russia un nuovo malware
I servizi di cybersecurity inglesi e americani hanno pubblicato un report con i dettagli di Cyclops Blink, un nuovo malware che sembrerebbe provenire dalla Russia. Non solo: il team di criminali dietro il malware sarebbe addirittura supportato dal governo russo, sempre secondo il documento rilasciato dalle intelligence. Un particolare che, arrivati alla situazione attuale, non stupisce neanche più di tanto.
Le informazioni rilasciate parlano di un nuovo framework per il malware VPNFilter, individuato per la prima volta nel 2018. Cyclops Blink è quindi un’evoluzione del precedente, ancora più aggressivo e difficile da fermare. Secondo i risultati delle indagini, questo nuovo framework sarebbe stato sviluppato a giugno 2019, ma individuato soltanto ora.
Cyclops Blink: come funziona?
Il malware si presenta come un’eseguibile Linux ELF consistente di un componente core e diversi moduli addizionali eseguiti come processi “figli”. L’eseguibile porta con sé alcuni moduli di default che consentono agli attaccanti di scaricare o caricare file sulla macchina colpita e accedere a informazioni di sistema. I cybercriminali possono inoltre sviluppare e aggiungere nuovi moduli tramite un server Command and Control (C2).
Quando il core attacca la macchina riesce a mascherarsi da processo del kernel, agendo indisturbato insieme agli altri thread in esecuzione. Fatto ciò il malware modifica iptables per abilitare la comunicazione coi server C2. Dopo questa fase di inizializzazione si instaura la trasmissione di dati tra il core e il server degli attaccanti, che invierà i comandi da eseguire ai moduli del malware.
Come ci si può proteggere? I consigli per prevenire e mitigare i danni di questo attacco sono più o meno sempre gli stessi: fare attenzione alle email di phishing, evitare di eseguire file sospetti, mantenere aggiornati i device e i sistemi di sicurezza e proteggere le interfacce di gestione inserendole dietro reti private.
WatchGuard ha pubblicato una serie di step da seguire nel caso di infezione da Cyclops Blink. La prima cosa da fare è ovviamente disconnettersi dalla rete in cui ci si trova per evitare che il malware infetti altri dispositivi. Come riportato dal documento di cybersicurezza, se un device è stato colpito dal malware è quasi certo che tutte le password contenute in esso siano compresse. È fondamentale rimediare subito e modificare tutte le password di accesso, abilitando, se non fosse già attiva, la multi-factor authentication.
Gli altri attacchi del gruppo criminale
Sandworm, il gruppo criminale dietro Cyclops Blink, non è nuovo nel mondo dell’hacking malevolo. I servizi di sicurezza inglesi e americani attribuiscono al team russo diversi malware e attacchi degli ultimi. Tra questi ci sono:
- il malware BlackEnergy, che nel 2015 ha colpito la rete elettrica ucraina;
- l’Industroyer, che nel 2016 ha preso di mira la rete elettrica dell’Ucraina;
- NotPetya, una variante appartenente alla famiglia dei Petya, attivo in Europa tra il 2016 e il 2017;
- l’attacco alle olimpiadi invernali di PyeongChange del 2018;
- i numerosi attacchi in Georgia del 2019.
Già nei giorni scorsi molti siti istituzionali ucraini erano stati presi di mira dal malware. Non è ancora chiaro se gli attacchi siano stati un monito in vista dell’imminente offensiva militare o se il gruppo abbia agito da solo; quel che è certo è che i cybercriminali sono a favore della scelta del Cremlino.