{"id":264193,"date":"2022-04-07T03:30:15","date_gmt":"2022-04-07T01:30:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264193"},"modified":"2022-04-07T10:00:36","modified_gmt":"2022-04-07T08:00:36","slug":"fbi-zerschlgt-cyclops-blink-botnet-der-fr-den-russischen-geheimdiensts-gru-arbeitenden-sandworm-gruppe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/07\/fbi-zerschlgt-cyclops-blink-botnet-der-fr-den-russischen-geheimdiensts-gru-arbeitenden-sandworm-gruppe\/","title":{"rendered":"FBI zerschlägt Cyclops Blink-Botnet der für den russischen Geheimdiensts (GRU) arbeitenden Sandworm Gruppe"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das US-Justizministerium (DOJ) hat gerade die Zerschlagung des Cyclops Blink-Botnetzes bekannt gegeben, welches der Cybergruppe Sandworm zugeschrieben wird. Sandworm ist eine Bezeichnung f\u00fcr eine Hackergruppe, die f\u00fcr den russischen Geheimdiensts (GRU) arbeitet. Hier die aktuell verf\u00fcgbaren Informationen, die vom DOJ ver\u00f6ffentlicht wurden.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet<\/a> auf das Thema aufmerksam geworden, der sich auf eine Pressekonferenz des US-Justizministeriums bezieht.<\/p>\n

<\/a><\/p>\n

In dieser Pressemitteilung<\/a> des DOJ findet sich mehr an Informationen. Demnach ist es dem FBI bereits im M\u00e4rz 2022 nach einem Gerichtsbeschluss gelungen, das dem Geheimdienst der Russischen F\u00f6deration (GRU) und speziell dessen Sandworm-Gruppe zugeschrieben Cyclops Blink-Botnetz zu unterbrechen. In der im M\u00e4rz 2022 durchgef\u00fchrten Operation wurde das Cyclops Blink-Botnet kopiert und die Malware von den Befehls- und Kontrollger\u00e4ten des Botnetzes entfernt. Damit soll die Kontrolle des GRU \u00fcber Tausende infizierter Ger\u00e4te weltweit unterbrochen sein.<\/p>\n

Sandworm Cyclops Blink-Botnet zerst\u00f6rt<\/h2>\n

Bei der gerichtlich genehmigten wurde ein zweistufiges globales Botnetz mit Tausenden von infizierten Netzwerkhardware-Ger\u00e4ten zerst\u00f6rt. Das Botnet stand unter der Kontrolle des Bedrohungsakteurs, der Sicherheitsforschern unter dem Namen Sandworm bekannt ist und den die US-Regierung zuvor dem Hauptnachrichtendienst des Generalstabs der Streitkr\u00e4fte der Russischen F\u00f6deration (GRU) zugeschrieben hat.<\/p>\n

Bei der Operation wurde Malware von anf\u00e4lligen, mit dem Internet verbundenen Firewall-Ger\u00e4ten kopiert und entfernt, die Sandworm f\u00fcr die Steuerung des zugrunde liegenden Botnetzes nutzte. Obwohl die Operation keinen Zugriff auf die Sandworm-Malware auf den Tausenden von Opferger\u00e4ten weltweit, den so genannten \"Bots\", beinhaltete, wurden diese Bots durch die Deaktivierung des C2-Mechanismus von der Kontrolle durch die Sandworm-C2-Ger\u00e4te getrennt. Die Opfer m\u00fcssen zus\u00e4tzliche Ma\u00dfnahmen ergreifen, um die Schwachstelle zu beseitigen und zu verhindern, dass b\u00f6swillige Akteure weiterhin ungepatchte Ger\u00e4te ausnutzen.<\/p>\n

Die Aktion gelang nach der gerichtlichen Genehmigung durch die enge Zusammenarbeit mit WatchGuard und anderen Regierungsbeh\u00f6rden in den USA und im Vereinigten K\u00f6nigreich, die mit der Analyse der Schadsoftware und der Entwicklung von Erkennungs- und Abhilfema\u00dfnahmen befasst waren.<\/p>\n

Hintergrund zum Cyclops Blink-Botnet<\/h2>\n

Am 23. Februar ver\u00f6ffentlichten das Nationale Cyber-Sicherheitszentrum des Vereinigten K\u00f6nigreichs, die Agentur f\u00fcr Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums, das FBI und die Nationale Sicherheitsbeh\u00f6rde einen Hinweis auf die Cyclops Blink-Malware, die auf Netzwerkger\u00e4te der Hersteller WatchGuard Technologies Inc. (WatchGuard) und ASUSTek Computer Inc. (ASUS) verbreitet wird (siehe auch die Artikel am Beitragsende).<\/p>\n

Mittlerweile wird diese Malware bzw. das Botnet der staatlichen Hackergruppe Sandworm (Voodoo Bear) zugeschrieben. Ziel der Angriffe ist es, Spionage, Denial-of-Service-Angriffe und Datenvernichtung zu betreiben. Das Cyclops Blink-Botnet kann vertrauliche Daten stehlen und andere Netzwerke angreifen. Denn die oben erw\u00e4hnten Netzwerkger\u00e4te sind ja Bestandteile des Computernetzwerks eines Opfers.<\/p>\n

Damit ist die Sandworm-Gruppe potenziell in der Lage, b\u00f6sartige Aktivit\u00e4ten gegen alle Computer innerhalb dieser Netzwerke durchzuf\u00fchren. Die Malware scheint bereits im Juni 2019 aufgetaucht zu sein (siehe Russische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a>) und ist der offensichtliche Nachfolger eines anderen Sandworm-Botnetzes namens VPNFilter, das das US-Justizministerium im Jahr 2018 durch eine gerichtlich genehmigte Operation zerst\u00f6rte.<\/p>\n

Die Cyclops Blink-Malware hat inzwischen hat etwa 1 Prozent der Netzwerk-Firewall-Ger\u00e4te des Netzwerkger\u00e4teherstellers Watchguard infiziert. Die Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus in infizierten Ger\u00e4ten so zu missbrauchen, dass sie persistent ist, d. h. sie \u00fcberlebt Neustarts. Hinweise zu diesem Thema finden sich im Blog-Beitrag Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls<\/a>.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nRussische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a>
\nASUS warnt: Cyclops Blink Botnet zielt auf Router<\/a>
\nCyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls<\/a>
\nVorbereitung auf die eskalierende Cyberkrise<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das US-Justizministerium (DOJ) hat gerade die Zerschlagung des Cyclops Blink-Botnetzes bekannt gegeben, welches der Cybergruppe Sandworm zugeschrieben wird. Sandworm ist eine Bezeichnung f\u00fcr eine Hackergruppe, die f\u00fcr den russischen Geheimdiensts (GRU) arbeitet. Hier die aktuell verf\u00fcgbaren Informationen, die vom DOJ … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-264193","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264193"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264193\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}