O Federal Bureau of Investigation divulgou que realizou uma operação em março para atingir uma enorme rede de bots controlada pela inteligência russa.
A operação foi autorizada por tribunais da Califórnia e da Pensilvânia, permitindo que o FBI copie e remova o chamado malware Cyclops Blink de seus servidores de comando e controle, também conhecidos como C2s, permitindo que o FBI corte as conexões com milhares de dispositivos infectados comprometidos. que estavam recebendo instruções dos servidores.
O Departamento de Justiça anunciou a operação de março na quarta-feira, descrevendo-a como “bem-sucedida”, mas alertou que os proprietários de dispositivos ainda devem revisar o aviso inicial de 23 de fevereiro para proteger seus dispositivos comprometidos e evitar a reinfecção.
O Departamento de Justiça disse que desde que surgiram as primeiras notícias sobre a crescente ameaça do Cyclops Blink em fevereiro, milhares de dispositivos comprometidos foram protegidos pelos proprietários, mas justificaram sua operação ordenada pelo tribunal porque a “maioria” dos dispositivos infectados ainda estava comprometida apenas algumas semanas. mais tarde em meados de março.
Acredita-se que o Cyclops Blink seja o sucessor do VPNFilter, um botnet amplamente negligenciado depois que foi exposto por pesquisadores de segurança em 2018 e posteriormente visado por uma operação do governo dos EUA para interromper seus servidores de comando e controle. Tanto o Cyclops Blink quanto o VPNFilter são atribuídos ao Sandworm, um grupo de hackers que trabalha para o GRU da Rússia, a unidade de inteligência militar do país.
De acordo com o Departamento de Justiça, a ordem judicial teve o “efeito imediato de impedir que o Sandworm acessasse esses dispositivos C2, interrompendo assim o controle do Sandworm dos dispositivos bot infectados controlados pelos dispositivos C2 remediados”.
“A operação não envolveu nenhuma comunicação do FBI com dispositivos bot”, disse o Departamento de Justiça.
As autoridades dos EUA não especularam sobre o objetivo do botnet Cyclops Blink, mas pesquisadores de segurança dizem que o botnet é capaz de coletar informações e conduzir espionagem, lançando ataques distribuídos de negação de serviço que sobrecarregam sites e servidores com tráfego indesejado, bem como ataques destrutivos ataques que tornam os dispositivos inoperantes e causam interrupções no sistema e na rede.
Sandworm é particularmente conhecido por lançar hacks disruptivos ao longo dos anos, incluindo desligar a rede elétrica ucraniana, usar malware para tentar explodir uma planta petroquímica saudita e, mais recentemente, implantar um limpador destrutivo visando a rede de satélites Viasat na Ucrânia e na Europa.
John Hultquist, vice-presidente de análise de inteligência da Mandiant, disse em resposta à operação do FBI: “Sandworm é a principal capacidade russa de ataque cibernético e um dos atores com os quais mais nos preocupamos à luz da invasão. Estamos preocupados que eles possam ser usados para atingir alvos na Ucrânia, mas também estamos preocupados que eles possam atingir alvos no Ocidente em retribuição pela pressão exercida sobre a Rússia”.
Em abril passado, o FBI lançou a primeira operação do tipo para copiar e remover um backdoor deixado por espiões chineses, que hackearam em massa milhares de servidores Exchange vulneráveis para roubar listas de contatos e caixas de entrada de e-mail.
Fonte: TechCrunch
