Avec un malware apparu en juin 2019 et considéré comme un successeur d'un autre botnet également attribué au groupe de cyberattaquants Sandworm du nom de VPNFilter, Cyclops Blink a fait à son tour l'objet d'une opération de démantèlement menée par les autorités américaines.

Cyclops Blink a pris pour cible des dispositifs de pare-feu de WatchGuard et des routeurs d'Asus. Ces entreprises avaient réagi via la publication d'outils de détection et une mise à jour firmware afin d'ajouter des mesures de sécurité pour bloquer le malware modulaire.

Le Département de la justice des États-Unis évoque un botnet constitué de milliers d'appareils infectés dans le monde, sans toutefois préciser les types d'attaques susceptibles d'avoir été effectuées - ou prévues - à leur insu. L'objectif recherché par Sandworm reste flou.

cybersecurite

Intrusion du FBI dans les serveurs de commande et contrôle

Malgré des alertes à partir du 23 février 2022, le nombre de bots infectés par Cyclops Blink n'aurait baissé que de 39 % au 18 mars. Le FBI a identifié 26 adresses IP associées à l'infrastructure de commande et contrôle du botnet, dont 13 aux États-Unis.

Avec l'aval d'une décision de justice et un accès à distance autorisé aux 13 adresses IP américaines des serveurs, une opération a permis de mettre à mal l'infrastructure du botnet, supprimer Cyclops Blink et fermer les ports de communication utilisés par Sandworm avec les appareils de commande et contrôle.

" Les appareils WatchGuard et Asus ayant agi comme des bots peuvent rester vulnérables à Sandworm si les propriétaires des appareils n'appliquent pas les mesures de détection et de correction recommandées par WatchGuard et Asus ", souligne le ministère américain de la Justice.

Sandworm est présenté comme un groupe APT (Advanced Persistent Threat). De tels groupes agissent avec le soutien de certains États. Il est considéré en lien avec le renseignement militaire de Russie.

Source : DOJ