Các quan chức chính phủ Mỹ vừa thông báo rằng họ đã triệt phá mạng botnet Cyclops Blink được điều hành bởi nhóm hacker Sandworm với sự hậu thuẫn của chính phủ Nga. Mạng botnet này đã bị triệt hạ ngay trước khi được sử dụng cho các mục đich quân sự.
Phần mềm độc hại, được Sandworm sử dụng tạo ra mạng botnet này từ tháng 6/20219, nhắm mục tiêu vào các thiết bị tường lừa WatchGuard Firebox và nhiều mẫu router của ASUS.
Cyclops Blink cho phép hacker duy trì sự hiện diện bền bỉ trên thiết bị bằng các bản cập nhật firmware, cung cấp quyền truy cập từ xa vào các mạng bị xâm nhập.
Phần mềm độc hại này có dạng mô-đun nên dễ dàng nâng cấp để tấn công vào các thiết bị mới cũng như khai thác vào các nhóm phần cứng có khả năng bị khai thác khác.
"Hôm nay, chúng tôi thông báo rằng chúng tôi đã triệt hại một mạng botnet toàn cầu được điều hành bởi cơ quan tình báo quân sự Nga, thường được gọi là GRU", Bộ trưởng Tư pháp Mỹ Merrick Garland tuyên bố. "Gần đây, chính phủ Nga đã sử dụng cơ sở hạ tầng tương tự để tấn công các mục tiêu tại Ukraina. May mắn là chúng tôi đã triệt hạ botnet này trước khi nó được sử dụng".
"Nhờ hợp tác chặt chẽ với các đối tác quốc tế, chúng tôi phát hiện ra hàng nghìn thiết bị mạng đã bị nhiễm mã độc. Sau đó, chúng tôi vô hiệu hóa quyền kiểm soát của GRU với các thiết bị đó trước khi mạng botnet được vũ khí hóa", ông Garland chia sẻ thêm.
Tại Mỹ, cơ quan chức năng đã tiến hành gỡ bỏ phần mềm độc hại khỏi các thiết bị WatchGuard. Trong khi đó, thông qua các đối tác nước ngoài, FBI đã thông báo cho các chủ sở hữu thiết bị trước khi loại bỏ phần mềm độc hại Cyclops Blink.
Hãng WatchGuard cũng đưa ra hướng dẫn giúp khôi phục các thiết bị Firebox bị xâm nhập về trạng thái sạch để loại bỏ mã độc. Khách hàng cũng được khuyến cáo nâng cấp firmware Fireware OS lên phiên bản mới nhất để ngăn chặn việc bị tấn công trong tương lai.
Sandworm (còn được biết đến với tên gọi Voodoo Bear, BlackEnergy, TeleBots) là nhóm hacker đứng đằng sau botnet Cyclops Blink. Nhóm này hoạt động từ năm 2000 và được cho là nhận sự hậu thuẫn từ chính phủ Nga.
Truyền thông phương Tây cho rằng Sandworm được điều hành bởi các hacker quân sự của Nga, một phần của Đơn vị 74455 (Unit 74455) thuộc Trung tâm chính về Công nghệ đặc biệt (GTsST) của GRU Nga.