Dal CSIRT italiano arriva una notizia in merito ad un nuovo malware chiamato Cyclops Blink di cui si riportano le informazioni essenziali.
Descrizione
La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), la National Security Agency (NSA) e la National Cyber Security Centre (NCSC) UK hanno osservato la recente diffusione del malware modulare Cyclops Blink – da parte del noto gruppo denominato Sandworm (alias Voodoo Bear) – verso organizzazioni dislocate anche sul territorio italiano. Nel dettaglio, Cyclops Blink risulta distribuito verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo, che garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati.
Attività di mitigazione
WatchGuard, in collaborazione con CISA, FBI, NSA e NCSC UK, ha reso disponibili linee guida ed un tool utili per l’identificazione e la rimozione di Cyclops Blink sui dispositivi interessati. Si consiglia agli utenti ed alle organizzazioni di seguire tali indicazioni, fornite dal vendor, per aggiornare i dispositivi interessati e rimuovere l’eventuale codice malevolo.
Si consiglia inoltre:
- di modificare le password di accesso alle interfacce di controllo dei dispositivi interessati;
- di implementare la segmentazione della rete.
Infine, si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) disponibili in allegato.
