Los piratas informáticos vinculados al ejército ruso están explotando las vulnerabilidades de seguridad en los cortafuegos para comprometer las redes e infectarlas con malware, lo que les permite obtener acceso de forma remota.
Una alerta del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) ha detallado el nuevo malware, Cyclops Blink, atribuyéndolo a Sandworm, una operación de piratería ofensiva que han vinculado previamente al GRU de Rusia.
El análisis realizado por el NCSC describe a Cyclops Blink como «una pieza de malware altamente sofisticada» que ha sido «desarrollada profesionalmente».
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Cyclops Blink parece ser un reemplazo para VPNFilter, malware que fue utilizado por grupos de piratería rusos vinculados al estado en ataques generalizados para comprometer dispositivos de red, principalmente enrutadores, para acceder a las redes.
Según NCSC, CISA, FBI y NSA, Cyclops Blink ha estado activo desde al menos junio de 2019 y, al igual que VPNFilter antes, la orientación se describe como «indiscriminada y generalizada» con la capacidad de obtener acceso remoto persistente a las redes.
También puede cargar y descargar archivos de máquinas infectadas y es modular, lo que permite agregar nuevas funciones al malware que ya se está ejecutando.
Los ataques cibernéticos se centran principalmente en los dispositivos de firewall WatchGuard, pero las agencias advirtieron que Sandworm es capaz de reutilizar el malware para propagarlo a través de otras arquitecturas y firmware.
Cyclops Blink persiste al reiniciar y durante todo el proceso de actualización de firmware legítimo. Se dirige a los dispositivos WatchGuard que se reconfiguraron a partir de la configuración predeterminada del fabricante para abrir interfaces de administración remota al acceso externo.
Una infección no significa que la organización sea el objetivo principal, pero es posible que las máquinas infectadas puedan usarse para realizar ataques adicionales.
El NCSC insta a las organizaciones afectadas a tomar medidas para eliminar el malware, detalladas por WatchGuard.
«En estrecha colaboración con el FBI, CISA, DOJ y el NCSC del Reino Unido, WatchGuard ha investigado y desarrollado una solución para Cyclops Blink, una botnet sofisticada patrocinada por el estado, que puede haber afectado a una cantidad limitada de dispositivos de firewall de WatchGuard», dijo un WatchGuard declaración.
«Los clientes y socios de WatchGuard pueden eliminar la amenaza potencial que representa la actividad maliciosa de la red de bots mediante la promulgación inmediata del plan de remediación y diagnóstico Cyclops Blink de 4 pasos de WatchGuard», agregó.
El NCSC advirtió que se debe asumir que cualquier contraseña presente en un dispositivo infectado por Cyclops Blink está comprometida y debe cambiarse.
Otros consejos sobre cómo proteger las redes de los ataques cibernéticos incluyen evitar la exposición de las interfaces de administración de los dispositivos de red a Internet, mantener los dispositivos actualizados con los últimos parches de seguridad y usar la autenticación multifactor.
El NCSC señala que el aviso no está directamente relacionado con la situación actual en Ucrania.