[English]Seit einigen Tagen infiziert eine neue Malware Netzwerkgeräte weltweit und gliedert betroffene Maschinen Cyclops Blink-Botnet ein. Dieses Botnet kann vertrauliche Daten stehlen und andere Netzwerke angreifen. Mittlerweile wird diese Malware bzw. das Botnet der staatlichen Hackergruppe Sandworm (Voodoo Bear) zugeschrieben. Hier einige Informationen zu dieser Malware.
Anzeige
Mir sind die Informationen zum Cyclops Blink-Botnet gleich über mehrere Quellen zugegangen. Neben dem nachfolgenden Tweet der Kollegen von Bleeping Computer hat auch Arstechnica das Ganze hier aufgegriffen.
Die Cyclops Blink genannte Malware befällt weltweit Heim- und kleine Büronetzwerkgeräte auf der ganzen Welt. Die Malware war bis kurzem unbekannt und wird der russischen Spionage- und Cyber-Angriffsgruppe Sandworm (auch bekannt als Voodoo Bear) zugeschrieben. Diese staatliche Hackergruppe bedroht auch industrielle Kontrollsysteme. Die Gruppe verwendet ein Tool namens Black Energy, das mit Angriffen auf Strom und Energieerzeugung-Unternehmen in Verbindung gebracht wird. Ziel der Angriffe ist es, Spionage, Denial-of-Service-Angriffe und Datenvernichtung zu betreiben.
Einige Sicherheitsforscher glauben, dass der Bedrohungsakteur mit der Kompromittierung des ukrainischen Stromnetzes im Jahr 2015 und einem verteilten Denial-of-Service-Angriff vor der russischen Invasion in Georgien in Verbindung steht. Die Gruppe wird jedenfalls für die DDoS-Angriffe 2008 in Georgien und den Ausfall des ukrainischen Stromnetzes 2015 verantwortlich gemacht.
Anzeige
Das britische Nationale Zentrum für Cybersicherheit (NCSC, National Cyber Security Centre ), und aus den USA die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA, Cybersecurity and Infrastructure Security Agency), die Nationale Sicherheitsbehörde (NSA, National Security Agency) und das Federal Bureau of Investigation (FBI, Federal Bureau of Investigation) haben den Sandworm-Akteur zuvor dem russischen GRU-Hauptzentrum (Militär-Geheimdienst) für Spezialtechnologien GTsST zugeschrieben.
Die Hackergruppe Sandworm wird für die Angriffe auf die ukrainischen Stromversorgung im Jahr 2015, für Industroyer im Jahr 2016, für NotPetya im Jahr 2017, für Angriffe auf die Olympischen Winterspiele und Paralympics im Jahr 2018 sowie eine Reihe von störenden Angriffen gegen Georgien im Jahr 2019 verantworlich gemacht. Das US-Justizministerium brachte die Hacks mit der Hauptnachrichtendirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) in Verbindung. Ob es da bereits eine Anklage der US-Justiz gegen Verantwortliche gibt, ist mir derzeit nicht bekannt.
Cyclops Blink-Malware
Die Vorläufer der Cyclops Blink-Malware gibt es seit drei Jahren, wobei die Akteure bisher VPNFilter ersetzten. Sicherheitsforscher haben 2018 herausgefunden, dass diese Malware rund 500.000 Router in Privathaushalten und kleinen Büros infiziert hat. Sie enthielt ein "wahres Schweizer Taschenmesser" an Funktionen, das es Hackern ermöglichte, Datenverkehr auszuschleusen oder zu manipulieren. Zudem kann die Malware einige SCADA-Protokolle überwachen, die von industriellen Steuerungsystemen verwendet werden.
NCSC, CISA, FBI und NSA haben festgestellt, dass die Sandworm-Gruppe eine neue Cyclops Blink-Malware verwendet. In diesem NCSC-Dokument heißt es, dass Cyclops Blink ein Ersatz-Framework für die 2018 aufgedeckte VPNFilter-Malware zu sein scheint. Das Dokument enthält eine detaillierte Analyse der neuen Malware.
Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Geräte des Netzwerkgeräteherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Geräten so zu missbrauchen, dass sie persistent ist, d. h. sie überlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls.
Anzeige
Man könnte denken, der Putin Machtapparat bereitet seine Gegenmaßnahmen in Bezug auf die erwarteten Sanktionen vor.
@ janil
Du hast dich verlaufen, eigentlich wolltest du deine Kreml-Propaganda im Telepolis-Forum veröffentlichen.
Ich finde es sehr schade, dass politische Propaganda und Hetze überall einzieht. Das gilt für den Autor wie für die Kommentatoren. Ob die Angriffe von der einen Seite der anderen zugeschrieben werden oder nicht, interessiert überhaupt nicht. Der Wahrheitsgehalt ist nicht zu überprüfen und gelogen wird sehr viel (s. Massenvernichtungswaffen im Irak). Man sollte sich auf Technik konzentrieren und nicht auf olitische Spekulationen und Verdächtigungen.
Wenn ich deine Argumentation zu Ende denke, kann ich das Bloggen schlicht einstellen! Mehr als den Satz "es hat Cyberangriffe auf die Ukraine gegeben" könnte ich nicht bloggen – und selbst das müsste ich streichen, da ich es nicht prüfen kann. Auch die aktuellen Nachrichten aus und über die Ukraine müsste ich – weil nicht persönlich überprüfbar – verwerfen.
In obigem Test heißt es "wird … zugeschrieben". Kann man für sich bewerten oder nicht – oft hilft aber die Frage "wem nützt es …".
Einfach drüber nachdenken – politische Nebelkerzen und Propaganda wird ja bereits genügend von Russia Today & Co. in westlichen Ländern verbreitet.
Hey Leute, es sind doch nur Friedenstruppen!
Und ob die überhaupt aus Russland kommen, wer weiß?
Wer Sarkasmus findet, darf ihn behalten.