Il Dipartimento di Giustizia degli Stati Uniti ha annunciato di aver smantellato la botnet Cyclops Blink, dopo aver ricevuto l’autorizzazione dal giudice. I gestori fanno parte del gruppo Sandworm, uno dei tanti finanziati dal GRU, il servizio informazioni delle forze armate russe. Tra i dispositivi più colpiti ci sono i firewall di WatchGuard e i router di ASUS.
L’FBI elimina il malware dai dispositivi
Il malware sfruttato da Sandworm per creare la botnet Cyclops Blink (erede di VPNFilter) è stato identificato soprattutto nei dispositivi di WatchGuard e ASUS. I cybercriminali russi hanno ottenuto il controllo remoto (e quindi l’accesso alla rete) attraverso un aggiornamento del firmware. I dispositivi degli ignari utenti sono stati suddivisi in due gruppi, uno composto dai bot/client e uno da quelli che operano come server C2 (command-and-control) collegati alla rete Tor gestita da Sandworm.
Dopo aver ricevuto l’autorizzazione dal giudice il 18 marzo, l’FBI ha rimosso il malware da tutti i dispositivi C2, sui quali non era stata installata l’ultima versione del firmware. L’agenzia federale ha inoltre chiuso le porte usate per l’accesso, impedendo quindi la gestione remota da parte di Sandworm. Questo intervento non ha riguardato però i dispositivi bot, pertanto gli utenti devono seguire le indicazioni di WatchGuard e ASUS per eliminare il malware.
Prima di avviare la “pulizia” del malware, l’FBI ha contattato i proprietari dei dispositivi C2. Lo script è stato utilizzato solo per eliminare il malware. Non è stata cercata né raccolta nessuna informazione delle reti delle vittime.