CYCLOPS BLINK

USA har i hemmelighet slettet russisk skadevare på mange infiserte rutere

Skal ha hindret at botnett kunne tas i bruk.

Nettverksruteren Asus RT-AC88U er blant ruterne som har blitt infisert med Cyclops Blink-skadevaren.
Nettverksruteren Asus RT-AC88U er blant ruterne som har blitt infisert med Cyclops Blink-skadevaren. Illustrasjonsfoto: Asus
Harald BrombachHarald BrombachNyhetsleder
7. apr. 2022 - 10:58

Amerikanske justismyndigheter skal i samarbeid med myndigheter i andre land ha greid å ta ned et botnett som antas å være kontrollert av den militære, russiske etterretningsorganisasjonen GRU. Dette fortalte USAs justisminister, Merrick B. Garland, i en tale onsdag denne uken. 

Stoppet i tide?

– Heldigvis var vi i stand til å bryte inn i dette botnettet før det kunne bli brukt. Takket være vårt nære samarbeid med internasjonale partnere, var vi i stand til å detektere infeksjonen av tusenvis av nettverkstilknyttede maskinvareenheter, sa Garland. 

– Vi var deretter i stand til å deaktivere GRUs kontroll over disse enhetene før botnettet kunne gjøre skade, fortsatte han. 

GRU er egentlig en eldre forkortelse på det som i dag kalles for Glavnoje Upravljenije (GU), som kan oversettes til Hoveddirektoratet i Generalstaben på norsk. Forkortelsen GRU brukes likevel ofte.

600.000 rutere ble satt ut av spill av et botnett, opplyser Lumen. Dette er et illustrasjonsbilde.
Les også

Aldri skjedd før: Skadevare ødela 600.000 rutere

Cyclops Blink

I en separat pressemelding kommer det amerikanske justisdepartementet med langt flere detaljer. Der går det fram at de berørte enhetene først og fremst er nettverksrutere fra Asus og WatchGuard. Skadevaren kalles for Cyclops Blink og skal være drevet av den GRU-kontrollerte hackergruppen som kalles for Sandworm (også kjent som blant annet Sofacy Group, APT28, Fancy Bear, X-Agent, Pawn Storm og Sednit), som også skal ha stått bak skadevare som BlackEnergy og NotPetya.

Begge de to leverandørene kom for en tid tilbake med råd og veiledninger om hvordan skadevaren kan fjernes og blokkeres fra de berørte ruterne. Ifølge det amerikanske justisdepartementet førte dette til at tusenvis av rutere ble renset for skadevare. Men i midten av mars skal fortsatt majoriteten av de berørte ruterne fortsatt ha vært infisert. 

Slettet i «hemmelighet»

Den 18. mars satte derfor FBI i gang en domstolgodkjent operasjon hvor skadevaren ble kopiert og slettet i de gjenværende enhetene som var blitt benyttet av Sandworm som kommando- og kontrollenheter i botnettet. Administrasjonsporten som Sandworm har benyttet på ruterne, ble dessuten stengt. Det er uklart om dette også har blitt gjort på slike enheter i andre land enn USA.

Det advares likevel om rutere som har vært zombier i botnettet, fortsatt kan være sårbare for nye angrep dersom ikke eierne av disse gjennomfører de tiltakene som leverandørene og amerikanske og britiske sikkerhetsmyndigheter anbefaler.

Ifølge New York Times anses operasjonen som enda et tilfelle i rekken av inngripener som amerikanske sikkerhets- og etterretningsmyndigheter har kommet med for å avsløre eller forpurre russiske angrepsplaner i forbindelse med krigen i Ukraina.

I slekt med VPNFilter

Cyclops Blink blir ansett som en arvtaker til skadevaren VPNFilter, som ble kjent i 2018. Også VPNFilter ble utviklet og/eller brukt av Sandworm/Fancy Bear. I mai 2018 ble en rekke skadevarenettverk basert på VPNFilter stengt gjennom en tilsvarende operasjon som den som foregikk i mars i år. Men den infeksjoner og angrep basert på VPNFilter tok ikke slutt med dette.

En ny skadevare-kampanje truer Android-plattformen med SMS-tyveri, sier sikkerhetsselskapet Zimperium.
Les også

Ny trussel: Denne Android-skadevaren stjeler engangspassord fra SMS-meldinger

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.