Originalartikel von Feike Hacquebord, Stephen Hilt, Fernando Merces, Threat Researchers
Cyclops Blink, ein fortgeschrittenes modulares Botnet, hat offenbar Verbindungen zur APT-Gruppe (Advanced Persistent Threats) Sandworm oder Voodoo Bear und steht laut einer Analyse des britischen National Cyber Security Centre (NCSC) hinter einem kürzlich erfolgten Angriff auf WatchGuard Firebox-Geräte. Wir erhielten eine Variante der Cyclops Blink Malware-Familie, die auf Asus-Router abzielt, und haben die technischen Möglichkeiten dieser Malware-Variante analysiert.
Auch setzten wir uns bezüglich der Untersuchung mit Asus in Verbindung. Das Unternehmen hat ein Sicherheitsbulletin erstellt, das eine Checkliste zur Vermeidung von Cyclops Blink-Angriffen sowie eine Liste der betroffenen Asus-Produkte enthält.
Unsere Daten zeigen auch, dass Cyclops Blink zwar ein staatlich gesponsertes Botnet ist, seine C&C-Server und Bots jedoch auch WatchGuard Firebox- und Asus-Geräte angreifen, die nicht zu kritischen Organisationen gehören oder einen offensichtlichen Wert für wirtschaftliche, politische oder militärische Spionage haben. Daher gehen wir davon aus, dass der Hauptzweck des Cyclops Blink-Botnets darin besteht, eine Infrastruktur für weitere Angriffe auf hochrangige Ziele aufzubauen. Das Botnet gibt es seit mindestens Juni 2019, und eine beträchtliche Anzahl seiner C&C-Server und Bots sind seit etwa drei Jahren aktiv.
Der APT-Gruppe Sandworm wird die Entwicklung sowohl von Cyclops Blink als auch des IoT-Botnets VPNFilter zugeschrieben. VPNFilter, das bereits 2018 entdeckt wurde, zielte auf Router und Speichergeräte ab. Berichten zufolge hat es Hunderttausende von Geräten infiziert. 2021 veröffentlichte Trend Micro eine technische Analyse von VPNFilter, die auch darlegt, wie das Botnet zwei Jahre nach seiner Entdeckung weiterhin infizierte Systeme beeinträchtigt.
Sandworm war außerdem für viele prominente Angriffe verantwortlich, darunter die auf das ukrainische Stromnetz 2015 und 2016, den NotPetya-Angriff 2017, den französischen Präsidentschaftswahlkampf 2017, den Olympic Destroyer-Angriff 2018 auf die Olympischen Winterspiele und eine Operation 2018 gegen die Organization for the Prohibition of Chemical Weapons (OPCW).
Cyclops Blink-Malware
Cyclops Blink ist eine modulare, in C geschriebene Malware. Die Kernkomponente initialisiert die Module (Asus (0x38), System Reconnaissance (0x08), File Download (0x0f)), wobei die Malware jedes hartcodierte Modul in einem eigenen untergeordneten Prozess ausführt. Nachdem die Kernkomponente von den Modulen Daten erhält, startet sie die Verschlüsselungsroutinen, bevor die Daten an den C&C-Server geschickt werden, der dann Befehle zurück sendet. Technische Einzelheiten zur Funktionsweise und zum Angriffsablauf umfasst der Originalbeitrag.
Infrastruktur
Wir konnten feststellen, dass das Cyclops Blink-Botnet Router sowohl von kompromittierten WatchGuard-Geräten als auch Asus-Routern infizierte. Diese kompromittierten Geräte stellen regelmäßig Verbindungen zu C&C-Servern her, die ihrerseits auf kompromittierten WatchGuard-Geräten gehostet werden. Wir haben Hinweise darauf, dass auch Router von mindestens einem anderen Hersteller eine Verbindung zu Cyclops Blink C&Cs herstellen, aber bisher konnten wir noch keine Malware-Samples für diese Router-Marke sammeln.
Das Cyclops Blink-Botnet ist bereits seit einiger Zeit aktiv. Ausgehend von historischen Daten von internetweiten Scans und SSL-Zertifikatsdaten ist anzunehmen, dass Cyclops Blink mindestens seit Juni 2019 existiert. In dieser Zeit stellte der Akteur mehr als 50 SSL-Zertifikate aus, die für WatchGuard C&Cs auf verschiedenen TCP-Ports verwendet wurden (soweit uns bekannt ist, sind dies die TCP-Ports 636, 989, 990, 994, 995, 3269, und 8443).
Auswirkungen
Unsere Untersuchung ergab, dass es weltweit mehr als 200 Cyclops Blink-Opfer gibt. Zu den betroffenen Ländern gehören die Vereinigten Staaten, Indien, Italien, Kanada und eine lange Liste weiterer Länder, darunter auch Russland. Es fällt auf, dass die Opfer offensichtlich keine wertvollen Ziele für wirtschaftliche, militärische oder politische Spionage sind. Einige der Live-C&Cs werden beispielsweise auf WatchGuard-Geräten gehostet, die von einer Anwaltskanzlei in Europa, einem mittelständischen Unternehmen, das medizinische Geräte für Zahnärzte in Südeuropa herstellt, und einem Klempner in den Vereinigten Staaten genutzt werden. Dies steht im Einklang mit der zunehmenden Zahl von Brute-Force-Angriffen, die von anderen APT-Gruppen wie Pawn Storm durchgeführt werden, einer Gruppe, die zahlreiche Assets wie Mail-Adressen und -Server von Zielen kompromittiert hat, die in der Regel nicht mit den üblichen Zielen von Pawn Storm übereinstimmen. Genau wie Pawn Storm fischt Sandworm mit einem weit gespannten Netz oder versucht, Assets in einem größeren Umfang zu kompromittieren.
Schlussfolgerungen
In den letzten Jahren haben die IoT-Angriffe weltweit zugenommen, und Internet-Router waren eines der Hauptziele. Es gibt mehrere Gründe für diese Vorliebe -- die unregelmäßige Verfügbarkeit von Patches, das Fehlen von Sicherheitssoftware und die eingeschränkte Sichtbarkeit von Verteidigern. All dies ermöglicht die Entstehung so genannter „ewiger Botnets“. Sobald ein IoT-Gerät mit Malware infiziert ist, kann ein Angreifer ungehindert auf das Internet zugreifen, um weitere Malware-Phasen zur Erkundung, Spionage, zum Proxying oder für andere Zwecke herunterzuladen und zu verbreiten. Die meisten IoT-Geräte basieren auf Linux, das auch von vielen leistungsstarken Systemtools verwendet wird. Somit können Angreifer alles andere hinzufügen, was sie zur Ausführung ihrer Angriffe benötigen. Im Fall von Cyclops Blink haben wir Geräte gefunden, die über 30 Monate (etwa zweieinhalb Jahre) am Stück kompromittiert waren und als stabile C&C-Server für andere Bots eingerichtet wurden.
Aufgrund unserer früheren Analyse von VPNFilter gingen wir davon aus, dass noch mehr Hersteller von dieser Gruppe angegriffen wurden. Dies waren Asus, D-Link, Huawei, Linksys, MikroTik, Netgear, QNAP, TP-Link, Ubiquiti, UPVEL und ZDE. Im Fall von Cyclops Blink erhielten wir Samples für Asus-Router, über die bisher noch nicht berichtet worden war. Die Asus-Version der Cyclops Blink-Malware weist einige Unterschiede zu den zuvor besprochenen WatchGuard-Versionen auf.
Die von uns analysierten Samples sind für ARM kompiliert und dynamisch mit uClibc verknüpft. Sie enthalten außerdem ein Modul, das speziell auf Asus-Router abzielt. Es gibt zudem Hinweise darauf, dass neben Asus auch andere Router betroffen sind, aber zum Zeitpunkt der Berichterstattung konnten wir keine Cyclops Blink Malware Samples für andere Router als WatchGuard und Asus sammeln.
Aufgrund unserer Beobachtungen sind wir der festen Überzeugung, dass noch weitere Geräte anderer Hersteller betroffen sind. Die Malware ist modular aufgebaut, und es ist wahrscheinlich, dass jeder Hersteller über verschiedene Module und Architekturen verfügt, die von den Cyclops Blink-Akteuren wohl ausgekundschaftet wurden.
Darüber hinaus ist der Zweck dieses Botnets noch unklar: Ob es für Distributed-Denial-of-Service-Angriffe (DDoS), Spionage oder Proxy-Netzwerke eingesetzt werden soll, bleibt abzuwarten. Klar ist jedoch, dass es sich bei Cyclops Blink um eine fortschrittliche Malware handelt, die sich auf ihre Persistenz und ihre Fähigkeit konzentriert, Domain-Sinkhole-Versuche und die Zerschlagung ihrer Infrastruktur zu überleben. Die APT-Gruppe hinter dieser Malware hat aus ihren VPNFilter-Kampagnen gelernt und greift weiterhin IoT-Geräte wie Router an.
Im Zeitalter der Heimarbeitsplätze ist es möglich, dass Spionage ein Grund dafür ist, dass IoT-Geräte immer noch wichtige Ziele sind. Je mehr Router kompromittiert werden, desto mehr Quellen zum Sammeln aussagekräftiger Daten und damit Möglichkeiten für weitere Angriffe stehen zur Verfügung. Eine verteilte Infrastruktur erschwert es Cybersecurity-Teams zudem, den gesamten Angriff abzuwehren. Das ist auch der Grund, warum es nach mehr als zwei Jahren immer noch aktive VPNFilter-Hosts gibt.
Sicherheitsempfehlungen
Unternehmen können sich vor Cyclops Blink-Angriffen schützen, indem sie sichere Passwörter verwenden und ihre Sicherheitsmaßnahmen nochmals überprüfen. Außerdem sollte sichergestellt werden, dass nur die Dienste mit dem Internet verbunden werden, die dies dringend benötigen. Der Zugang zu diesen Services sollte eingeschränkt werden, etwa durch die Konfiguration eines virtuellen privaten Netzwerks (VPN), das den Fernzugriff auf diese Services ermöglicht. Es ist auch wichtig, Benachrichtigungen einzurichten, um zu überprüfen, ob Geräte wie Router, Kameras, NAS-Geräte (Network-Attached Storage) und andere IoT-Geräte gepatcht wurden oder nicht.
Besteht der Verdacht, dass die Geräte eines Unternehmens mit Cyclops Blink infiziert sind, sollten Firmen am besten einen neuen Router kaufen. Das Zurücksetzen auf die Werkseinstellungen kann die Konfiguration eines Unternehmens löschen, nicht aber das zugrunde liegende Betriebssystem, das die Angreifer verändert haben. Wenn ein bestimmter Hersteller Firmware-Updates anbietet, die einen Cyclops Blink-Angriff oder eine andere Schwachstelle im System beheben können, sollten Unternehmen diese so schnell wie möglich anwenden. In manchen Fällen handelt es sich bei einem Gerät jedoch um ein auslaufendes Produkt, für das der Hersteller keine Updates mehr bereitstellt. In solchen Fällen hätte ein durchschnittlicher Benutzer nicht die Möglichkeit, eine Cyclops Blink-Infektion zu beheben.
Die Indicators of Compromise (IOCs) gibt es im Appendix.
Zusätzliche Einsichten von Philippe Z Lin