{"id":262853,"date":"2022-02-24T01:51:17","date_gmt":"2022-02-24T00:51:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262853"},"modified":"2022-02-24T11:56:06","modified_gmt":"2022-02-24T10:56:06","slug":"russische-sandworm-gruppe-fr-cyclops-blink-botnet-verantwortlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/24\/russische-sandworm-gruppe-fr-cyclops-blink-botnet-verantwortlich\/","title":{"rendered":"Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit einigen Tagen infiziert eine neue Malware Netzwerkger\u00e4te weltweit und gliedert betroffene Maschinen Cyclops Blink-Botnet ein. Dieses Botnet kann vertrauliche Daten stehlen und andere Netzwerke angreifen. Mittlerweile wird diese Malware bzw. das Botnet der staatlichen Hackergruppe Sandworm (Voodoo Bear) zugeschrieben. Hier einige Informationen zu dieser Malware.<\/p>\n

<\/p>\n

\"\"Mir sind die Informationen zum Cyclops Blink-Botnet gleich \u00fcber mehrere Quellen zugegangen. Neben dem nachfolgenden Tweet<\/a> der Kollegen von Bleeping Computer hat auch Arstechnica das Ganze hier<\/a> aufgegriffen.<\/p>\n

\"Cyclops<\/a><\/p>\n

Die Cyclops Blink genannte Malware bef\u00e4llt weltweit Heim- und kleine B\u00fcronetzwerkger\u00e4te auf der ganzen Welt. Die Malware war bis kurzem unbekannt und wird der russischen Spionage- und Cyber-Angriffsgruppe Sandworm<\/a> (auch bekannt als Voodoo Bear) zugeschrieben. Diese staatliche Hackergruppe bedroht auch industrielle Kontrollsysteme. Die Gruppe verwendet ein Tool namens Black Energy, das mit Angriffen auf Strom und Energieerzeugung-Unternehmen in Verbindung gebracht wird. Ziel der Angriffe ist es, Spionage, Denial-of-Service-Angriffe und Datenvernichtung zu betreiben.<\/p>\n

Einige Sicherheitsforscher glauben, dass der Bedrohungsakteur mit der Kompromittierung des ukrainischen Stromnetzes im Jahr 2015 und einem verteilten Denial-of-Service-Angriff vor der russischen Invasion in Georgien in Verbindung steht. Die Gruppe wird jedenfalls f\u00fcr die DDoS-Angriffe 2008 in Georgien und den Ausfall des ukrainischen Stromnetzes 2015 verantwortlich gemacht.<\/p>\n

Das britische Nationale Zentrum f\u00fcr Cybersicherheit (NCSC, National Cyber Security Centre ), und aus den USA die Agentur f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA, Cybersecurity and Infrastructure Security Agency), die Nationale Sicherheitsbeh\u00f6rde (NSA, National Security Agency) und das Federal Bureau of Investigation (FBI, Federal Bureau of Investigation) haben den Sandworm-Akteur zuvor dem russischen GRU-Hauptzentrum (Milit\u00e4r-Geheimdienst<\/a>) f\u00fcr Spezialtechnologien GTsST zugeschrieben.<\/p>\n

Die Hackergruppe Sandworm wird f\u00fcr die Angriffe auf die ukrainischen Stromversorgung im Jahr 2015, f\u00fcr Industroyer im Jahr 2016, f\u00fcr NotPetya im Jahr 2017, f\u00fcr Angriffe auf die Olympischen Winterspiele und Paralympics im Jahr 2018 sowie eine Reihe von st\u00f6renden Angriffen gegen Georgien im Jahr 2019 verantworlich gemacht. Das US-Justizministerium brachte die Hacks mit der Hauptnachrichtendirektion des Generalstabs der Streitkr\u00e4fte der Russischen F\u00f6deration (GRU) in Verbindung. Ob es da bereits eine Anklage der US-Justiz gegen Verantwortliche gibt, ist mir derzeit nicht bekannt.<\/p><\/blockquote>\n

Cyclops Blink-Malware<\/h2>\n

Die Vorl\u00e4ufer der Cyclops Blink-Malware gibt es seit drei Jahren, wobei die Akteure bisher VPNFilter ersetzten. Sicherheitsforscher haben 2018 herausgefunden, dass diese Malware rund 500.000 Router in Privathaushalten und kleinen B\u00fcros infiziert hat. Sie enthielt ein \"wahres Schweizer Taschenmesser\" an Funktionen, das es Hackern erm\u00f6glichte, Datenverkehr auszuschleusen oder zu manipulieren. Zudem kann die Malware einige SCADA-Protokolle \u00fcberwachen, die von industriellen Steuerungsystemen verwendet werden.<\/p>\n

NCSC, CISA, FBI und NSA haben festgestellt, dass die Sandworm-Gruppe eine neue Cyclops Blink-Malware verwendet. In diesem NCSC-Dokument<\/a> hei\u00dft es, dass Cyclops Blink ein Ersatz-Framework f\u00fcr die 2018 aufgedeckte VPNFilter-Malware zu sein scheint. Das Dokument enth\u00e4lt eine detaillierte Analyse der neuen Malware.<\/p>\n

Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Ger\u00e4te des Netzwerkger\u00e4teherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Ger\u00e4ten so zu missbrauchen, dass sie persistent ist, d. h. sie \u00fcberlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit einigen Tagen infiziert eine neue Malware Netzwerkger\u00e4te weltweit und gliedert betroffene Maschinen Cyclops Blink-Botnet ein. Dieses Botnet kann vertrauliche Daten stehlen und andere Netzwerke angreifen. Mittlerweile wird diese Malware bzw. das Botnet der staatlichen Hackergruppe Sandworm (Voodoo Bear) zugeschrieben. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262853","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262853"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262853\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}