Im März schaltete das Federal Bureau of Investigation (FBI) ein groß angelegtes Botnet ab, das einem staatlich geförderten russischen Bedrohungsakteur namens Sandworm gehörte.
Laut einem TechCrunch-Bericht hat Sandworm Tausende von Endpunkten mit der Cyclops Blink-Malware (wird in einem neuen Tab geöffnet), dem Nachfolger des inzwischen nicht mehr existierenden VPNFilter, infiziert. Cyclops Blink ermöglicht es Sandworm, Cyberspionage durchzuführen, Distributed-Denial-of-Service-Angriffe (DDoS - wird in einem neuen Tab geöffnet) zu starten, kompromittierte Geräte zu manipulieren und Netzwerke zu unterbrechen.
Nachdem das FBI von Gerichten in Kalifornien und Pennsylvania grünes Licht erhalten hatte, entfernte es Cyclops Blink von seinen C2-Servern und schaltete Tausende kompromittierter Endpunkte offline. Das Justizministerium erklärte die Razzia für erfolgreich, empfahl den Gerätebesitzern jedoch dennoch, die ursprüngliche Empfehlung noch einmal durchzugehen und ihre Geräte sicherer zu machen.
Russische Drohungen
Cyclops Blink sei seit Februar aktiv, teilte das Justizministerium (DoJ) mit, und obwohl es den Strafverfolgungsbehörden gelang, einige der kompromittierten Geräte zu sichern, seien die meisten immer noch infiziert und würden von Bedrohungsakteuren verwendet.
„Die Operation beinhaltete keine FBI-Kommunikation mit Robotern“, fügte das Justizministerium hinzu.
Sandworm ist ein bekannter Bedrohungsakteur, der für die GRU, den russischen Militärgeheimdienst, arbeitet. Er ist auch als Voodoo Bear und Electrum bekannt und war für die DDoS-Angriffe in Georgien im Jahr 2008 sowie für den Blackout in der Ukraine im Jahr 2015 verantwortlich.
Laut dem unparteiischen Rat für auswärtige Angelegenheiten zielt Sandworm hauptsächlich auf industrielle Kontrollsysteme ab, wobei ein Tool namens Black Energy verwendet wird. Neben der Cyberspionage ist die Gruppe häufig an DoS-Angriffen beteiligt und soll hinter der NotPetya-Kampagne 2017 stecken.
Im selben Jahr kritisierte er politische Parteien und lokale Regierungsbehörden in Frankreich, einschließlich derjenigen, die mit dem Präsidenten in Verbindung stehen. Und 2020 beschuldigte die US-amerikanische National Security Agency (NSA) die Gruppe, Messaging-Dienste auf der ganzen Welt anzugreifen.
„Die Akteure nutzten Opfer aus, indem sie Exim-Software auf ihren öffentlichen MTAs nutzten, indem sie einen Befehl an das ‚MAIL FROM‘-Feld einer SMTP-Nachricht (Simple Mail Transfer Protocol) schickten“, sagte die NSA damals.
Über TechCrunch (Wird in einem neuen Tab geöffnet)