En un comunicado conjunto de la Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigaciones (FBI) y el Centro Nacional de Ciberseguridad de Reino Unido (NCSC) reportaron que el grupo de hacking conocido como Sandworm está empleando una nueva y peligrosa variante de malware.

Identificado como Cyclops Blink, la creación de este nuevo desarrollo malicioso ha sido atribuida al Centro Principal de Tecnologías Especiales de Rusia. Este grupo ha sido vinculado a múltiples incidentes anteriormente, incluyendo amenazas a nivel internacional como:

  • Las interrupciones en el sistema eléctrico ucraniano en 2015.
  • Desarrollo del ransomware NotPetya en 2017.
  • Ciberataques contra los Juegos Olímpicos y Paralímpicos de Invierno en 2018.
  • Ciberataques contra el gobierno de Georgia en 2019.

Las agencias describieron a Cyclops Blink como un marco de reemplazo para el malware VPNFilter, detectado en 2018 y diseñado para la explotación de dispositivos de red como enrutadores y unidades de almacenamiento conectado a la red (NAS).

Comunicado CISA

Los operadores de Cyclops  Blink  parecen  actuar  de  forma  indiscriminada  contra dispositivos firewall  WatchGuard  con   configuraciones   predeterminadas, aunque es altamente probable que el malware pueda acoplarse en otras arquitecturas y firmware.

El malware cuenta con una funcionalidad central básica para enviar información del dispositivo comprometido a un servidor controlado por los hackers, además de permitir que los archivos se descarguen y ejecuten. Una funcionalidad adicional permite agregar nuevos módulos mientras se ejecuta el malware, haciendo que Sandworm incluya nuevas características a un ataque según sea necesario.

Cyclops Blink se carga en la  memoria  como  dos  segmentos  de  programa,  uno  con permisos  de  lectura/ejecución  y  otro  con  permisos  de  lectura/escritura. El primero contiene la cabecera ELF de Linux y el código ejecutable, mientras que el segundo, contiene los datos utilizados por el malware.

 

En etapas posteriores, los hackers implementan la carga útil como parte de una supuesta actualización de firmware, obteniendo persistencia a pesar del reinicio en el sistema dificultando su remediación. Los dispositivos de las víctimas se organizan en grupos y cada implementación de Cyclops Blink tiene una lista de direcciones IP de puertos y servidores C&C utilizados. Todas las direcciones IP conocidas hasta la fecha han sido utilizadas por firewalls WatchGuard comprometidos.

Las comunicaciones entre los clientes y servidores de Cyclops Blink están protegidas por Transport Layer Security, empleando claves y certificados generados de forma individual. Sandworm gestiona Cyclops Blink conectándose a sus servidores C&C a través de la red Tor.

La amenaza sigue activa y un ataque puede resultar desastroso para las organizaciones afectadas, por lo que las agencias recomiendan a los administradores de sistemas verificar su informe completo para estar al tanto de las mejores formas de mitigar este riesgo de seguridad.

Comunicaciones Cyclops Blink

Mitre Att&ck

Esta alerta a compilado información respecto al marco MITRE ATT&CK, esto es una base de conocimientos globalmente accesible sobre las tácticas y técnicas de los adversarios basada en observaciones del mundo real.

Recomendaciones:

  • No exponga las interfaces de gestión de los dispositivos de red (router, switch, firewall, etc.) a Internet.
  • Proteja sus dispositivos y redes manteniéndolos actualizados utilizando las últimas versiones soportadas, aplique los parches de seguridad emitidos por los diferentes fabricantes, haga uso de un antimalware y programe escaneos de manera regular para protegerse de las amenazas de malware nuevas y conocidas.
  • Haga uso del múltiple factor de autenticación para mitigar el impacto de las contraseñas que puedan llegar a estar comprometidas.
  • Realice jornadas de sensibilización exponiendo los diferentes riesgos y amenazas al recurso humano de su compañía haciendo énfasis en cómo informar de los correos electrónicos sospechosos de phishing o que contengan archivos adjuntos sospechosos.
  • Prevenga y detecte el movimiento lateral en las redes de su organización.

Casos de uso *:

  • Gestion y/o acceso a plataformas.
  • Seguimiento de actividades de un posible Ataque de día Cero. Reconocimiento y / o Vulnerabilidades.
  • Tráfico sospechoso desde IP destino peligrosas.
  • Control de acceso por geolocalización.

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.

Para más información puede consultar las siguientes fuentes asociadas a la noticia: