Cyclops Blink : démantèlement d'un botnet contrôlé par le renseignement militaire russe

Le par Jérôme G.  |  1 commentaire(s) | Source : DOJ
cybersecurite

Après le botnet VPNFilter, c'est son successeur désigné Cyclops Blink qui a été démantelé. Le groupe Sandworm aurait une nouvelle fois été à la manœuvre.

Avec un malware apparu en juin 2019 et considéré comme un successeur d'un autre botnet également attribué au groupe de cyberattaquants Sandworm du nom de VPNFilter, Cyclops Blink a fait à son tour l'objet d'une opération de démantèlement menée par les autorités américaines.

Cyclops Blink a pris pour cible des dispositifs de pare-feu de WatchGuard et des routeurs d'Asus. Ces entreprises avaient réagi via la publication d'outils de détection et une mise à jour firmware afin d'ajouter des mesures de sécurité pour bloquer le malware modulaire.

Le Département de la justice des États-Unis évoque un botnet constitué de milliers d'appareils infectés dans le monde, sans toutefois préciser les types d'attaques susceptibles d'avoir été effectuées - ou prévues - à leur insu. L'objectif recherché par Sandworm reste flou.

cybersecurite

Intrusion du FBI dans les serveurs de commande et contrôle

Malgré des alertes à partir du 23 février 2022, le nombre de bots infectés par Cyclops Blink n'aurait baissé que de 39 % au 18 mars. Le FBI a identifié 26 adresses IP associées à l'infrastructure de commande et contrôle du botnet, dont 13 aux États-Unis.

Avec l'aval d'une décision de justice et un accès à distance autorisé aux 13 adresses IP américaines des serveurs, une opération a permis de mettre à mal l'infrastructure du botnet, supprimer Cyclops Blink et fermer les ports de communication utilisés par Sandworm avec les appareils de commande et contrôle.

" Les appareils WatchGuard et Asus ayant agi comme des bots peuvent rester vulnérables à Sandworm si les propriétaires des appareils n'appliquent pas les mesures de détection et de correction recommandées par WatchGuard et Asus ", souligne le ministère américain de la Justice.

Sandworm est présenté comme un groupe APT (Advanced Persistent Threat). De tels groupes agissent avec le soutien de certains États. Il est considéré en lien avec le renseignement militaire de Russie.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
TroudhuK offline Hors ligne Vénéré icone 3730 points
Le #2161036
C'est fou combien on peut lutter contre la criminalité quand on veut. Faut s'en souvenir : quand on ne le fait pas, c'est qu'on ne le veut pas.
icone Suivre les commentaires
Poster un commentaire