Lesezeit ca. 6 Min.

Malware „Cyclops Blink“ – FBI greift auf private Firewalls zu


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 16/2022 vom 22.04.2022
Artikelbild für den Artikel "Malware „Cyclops Blink“ – FBI greift auf private Firewalls zu" aus der Ausgabe 16/2022 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.
Das FBI hat eine Technik entwickelt, mit der sie die Hacker überlisten konnten. Die Behörde übernahm das Kontrollpanel der Angreifer und konnte so die befallenen Systeme von den Schadprogrammen befreien.

Zum zweiten Mal innerhalb eines Jahres hat das FBI seine Durchsuchungs-und Beschlagnahmungsrechte wahrgenommen und Geräte privater Unternehmen und Nutzer ohne deren Zustimmung von Malware befreit. Die Behörde zerstörte auf diese Weise ein Botnet, das vermutlich russische Hacker mit Verbindungen zum Kreml aufgebaut hatten. Konkret zielte die Operation auf die Beseitigung der Schadsoftware Cyclops Blink ab, die Anfang des Jahres entdeckt wurde und einer Gang zugeschrieben wird, die in der IT-Sicherheitsszene als „Sandworm“ bekannt ist. Die Geheimdienste der USA und Großbritanniens nehmen an, dass es sich dabei um eine Einheit innerhalb der Hauptnachrichtendienste im Generalstab der Streitkräfte der Russischen Föderation (GRU) handelt.

Cyclops Blink ist ein modulares Malware-Programm, das darauf ausgelegt ist, Netzwerk- Hardware wie Router und Firewalls zu infizieren und zu kontrollieren. Das ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 16/2022 von Mehr Transparenz für mehr Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mehr Transparenz für mehr Sicherheit
Titelbild der Ausgabe 16/2022 von IBM soll Cloud-Erlöse künstlich aufgepumpt haben. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IBM soll Cloud-Erlöse künstlich aufgepumpt haben
Titelbild der Ausgabe 16/2022 von Verdi fordert Aufklärung: Hat SAP seine Mitarbeiter ausspioniert?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Verdi fordert Aufklärung: Hat SAP seine Mitarbeiter ausspioniert?
Titelbild der Ausgabe 16/2022 von Der Finanzsektor überschätzt seine IT-Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Der Finanzsektor überschätzt seine IT-Sicherheit
Mehr Lesetipps
Blättern im Magazin
Softwaremigration: So retten Sie Ihre alten Anwendungen
Vorheriger Artikel
Softwaremigration: So retten Sie Ihre alten Anwendungen
Silos waren gestern: Führungskräfte denken mehr in Zusammenhängen
Nächster Artikel
Silos waren gestern: Führungskräfte denken mehr in Zusammenhängen
Mehr Lesetipps

... britische National Cyber Security Centre (NCSC) hatte im Februar 2022 in Zusammenarbeit mit der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) einen Hinweis veröffentlicht, in dem die Firewalls der Reihe Firebox vom amerikanischen Hersteller Watchguard als eines der Ziele der Malware genannt werden. Auch Router von ASUS haben die Behörden als Ziele des Botnets bestätigt.

Was ist Cyclops Blink?

Vermutlich ist Cyclops Blink ein Nachfolger von VPNFilter, einer anderen Malware, die mehr als 50.000 Router von Privatanwendern und kleinen Unternehmen infiziert hatte. Damals waren Geräte vieler verschiedener Hersteller betroffen, darunter Linksys, Mikrotik, Netgear, QNAP und TP-Link.

Das FBI löste das VPNFilter-Botnet auf, nachdem die Behörde die Domäne außer Gefecht gesetzt hatte, die die Angreifer zur Steuerung des Netzes verwendete und von der aus Befehle zum Neustart der Geräte ausgegangen waren. Diese Maßnahme hatte die Schadsoftware aber nicht von den Geräten entfernt. Nach Untersuchungen des Sicherheitsunternehmens Trend Micro ging im Januar 2021 immer noch von einem Drittel der mit VPNFilter infizierten Geräte eine Gefährdung aus.

Darum ist Cyclops Blink so gefährlich

VPNFilter verfügte über Module, die das Überwachen und Manipulieren des Datenverkehrs ermöglichten und Angriffe auf nachgeschaltete Geräte zuließen. Ein Modul diente beispielsweise der Überwachung von Modbus-SCADA- Protokollen, die in industriellen Steuerungsumgebungen verwendet werden.

Da die Sandworm-Gang mit VPNFilter aufgeflogen war, zog sie es vor, sich neu auszurüsten und Cyclops Blink zu entwickeln, das vermutlich seit mindestens Juni 2019 in Betrieb ist.

Wie der Vorgänger kann Cyclops Blink zusätzliche Module herunterladen und ausführen, die seine Funktionalität erweitern. Doch der Nachfolger von VPNFilter ist hartnäckiger, weil er als Teil eines Firmware Updates bereitgestellt wird und sein Command-and-Control-Mechanismus (C2) komplexer ist.

Darüber hinaus erhält jedes mit Cyclops Blink infizierte Gerät eine fest kodierte Liste von C2-

Servern. Diese haben eine Relais-Funktion und sind alle mit einer zentralen Befehlszentrale verbunden, die von den Angreifern genutzt und im Tor-Netzwerk (ein Overlay-Netzwerk zum Anonymisieren von Verbindungsdaten) gehostet wird.

Wie hat das FBI Cyclops Blink zerschlagen?

Den FBI-Agenten gelang es, mit Zustimmung des Eigentümers ein Firmware-Image von einem der kompromittierten Watchguard-Geräte wiederherzustellen, das sie zur Untersuchung der Malware verwendeten. Sie überwachten auch den Datenverkehr des infizierten Geräts, wodurch sie einen der C2-Relais-Server in den USA identifizieren konnten.

Die Agenten verschafften sich dann Zugang zu diesem Server und analysierten seine Funktionsweise. Dies lieferte ihnen die Information, dass jeder C2-Server ein digitales Zertifikat mit bestimmten Merkmalen verwendete, das von den Angreifern eingesetzt wurde. Durch Scannen des Internets nach diesen Merkmalen gelang es der Behörde, 38 Cyclops-Blink-C2-Server zu identifizieren, von denen 22 in den USA stehen.

Außerdem entwickelte das FBI eine Technik, mit der es sich gegenüber den Servern als das vom Tor-Netzwerk gehostete Kontrollpanel des Angreifers ausgeben konnte. So konnte die Behörde Befehle erteilen, die an die von diesen Servern bedienten Bots weitergeleitet wurden. Gemeinsam mit Watchguard und einigen Strafverfolgungspartnern arbeitet das FBI an einer Strategie, Befehle an die infizierten Geräte zu senden, um diese von dem Schadprogramm zu reinigen.

Laut einer nicht versiegelten eidesstattlichen Erklärung verfolgt das FBI mit diesen Befehlen folgende Ziele:

► Bestätigung des Vorhandenseins der Malware-Binärdatei (CPD) auf dem Gerät,

► Protokollierung der Seriennummer des infizierten Geräts,

► Abrufen einer Kopie der Malware und ihrer Liste der fest kodierten C2-Server und

► Entfernen der CPD-Malware vom Gerät und Hinzufügen von Firewall-Regeln, die den Fernzugriff auf die Verwaltungsschnittstelle blockieren sollen.

Der letzte Schritt ist wichtig, da die Sandworm-Angreifer eine Schwachstelle zur Authentifizierungsumgehung (CVE-2022-23176) in den Geräten ausnutzten, um auf die Verwaltungsschnittstellen zuzugreifen, wenn diese für das Remote Management aus dem Internet konfiguriert waren. Durch Hinzufügen von Firewall-Regeln, die diesen Zugriff blockieren, verhinderte das FBI, dass die Sandworm-Angreifer die Geräte erneut kompromittieren konnten. Die Behörde wies jedoch darauf hin, dass diese Firewall-Regeln nicht dauerhaft seien und die Besitzer ihre Geräte einfach neu starten können, um die vorherige Konfiguration wiederherzustellen.

Viele weitere Informationen darüber, wie Behörden gegen russische und chinesische Hackerbanden vorgehen, finden Sie online auf unserem neuen Security-Portal www.csoonline.com/de:

USA zerschlagen Putins Malware-Angriff www.csoonline.com/de/ 3673857

Microsoft übernimmt Domains von russischen Hackern www.csoonline.com/de/ 3673868

Russische Hacker-Gruppe greift Stromversorgung der Ukraine an www.csoonline.com/de/ 3673872

Wer ist Sandworm?

Die Sandworm-Gruppe gilt als das fähigste Hacking-Team der russischen Regierung. 2015 hatte die Gruppe mit der Malware „Black Energy“ und 2016 mit „Industroyer“ die Energieinfrastruktur der Ukraine angegriffen. Sie war auch für den zerstörerischen Pseudo-Ransomware-Angriff „NotPetya“ im Jahr 2017 und die Attacken auf die IT-Infrastruktur der Olympischen Winterspiele im Jahr 2018 verantwortlich. Die Angriffe auf staatliche und private Websites in Georgien im Jahr 2019 werden von den amerikanischen und britischen Geheimdiensten ebenfalls Sandworm zugeschrieben. Die Gruppe, die auch als „Voodoo Bear“ oder GRU-Einheit „74455“ bekannt ist, bildet vermutlich eine von mehreren Units innerhalb der GRU, die sich mit Cyberoperationen befassen. Eine weitere Einheit ist „APT28“, die in der Sicherheitsbranche auch als „Fancy Bear“ bekannt ist. Sandworm ist seit mindestens 2009 aktiv und operiert von der GRU-Militäreinheit 74455, dem Hauptzentrum für Spezialtechnologien (GTsST), aus und ist in der Regel mit zerstörerischen Sabotageangriffen beschäftigt. Während APT28 oder die GRU-Militäreinheit 26165, das 85. Hauptspezialdienstzentrum (GTsSS), in der Regel Cyberspionage-und Desinformationskampagnen durchführen.

Im Oktober 2020 erhob das US- Justizministerium Anklage gegen sechs GRU-Offiziere wegen ihrer Rolle bei Cyberangriffen, die Sandworm zugeschrieben werden.

In der eidesstattlichen Erklärung, die zur Unterstützung des Antrags der Behörde auf einen Durchsuchungs-und Beschlagnahmebeschluss zur Genehmigung der Operation eingereicht wurde, weisen die FBI-Agenten darauf hin, dass keiner der Befehle es der Behörde ermöglicht habe, die Inhalte oder Daten des Gerätebesitzers einzusehen oder abzurufen. Auch sei die Technik im Vorfeld getestet worden, um sicherzustellen, dass sie die Funktionalität des Geräts nicht beeinträchtigen würde.

Das FBI erhielt Durchsuchungsbefehle vom Western District Court in Pennsylvania und Eastern District Court in Kalifornien, um die Befehle von mindestens zwei C2-Servern auszuführen. Es ist zwar nicht das erste Mal, dass Strafverfolgungsbehörden wie das FBI Durchsuchungsbefehle verwenden, um über beschlagnahmte C2-Server Befehle an Botnetze zu erteilen. Neu ist jedoch die Extraktion von Beweismaterial aus diesen Geräten, zum Beispiel einer Kopie der Malware, ohne die Zustimmung des Besitzers. Ein ähnlicher Ansatz wurde im April vergangenen Jahres angewandt, um Web-Shells zu kopieren und anschließend zu entfernen, die von einer chinesischen Cyberspionage-Gruppe namens „Hafnium“ auf Microsoft-Exchange-Servern eingesetzt wurden. Die Server waren durch Zero-Day-Schwachstellen kompromittiert worden. Die Operation warf Fragen zum Datenschutz und zur Transparenz auf.

Darf das FBI auf private Geräte zugreifen?

Die „Federal Rule of Criminal Procedure“ verlangt von den Beamten, dass sie „angemessene Anstrengungen unternehmen, um der Person, deren Eigentum durchsucht wird, eine Kopie des Durchsuchungsbeschlusses und der Empfangsbestätigung zuzustellen“, wenn es um den Fernzugriff auf elektronische Speicher und die Beschlagnahme elektronisch gespeicherter Informationen geht. Eine solche Benachrichtigung kann jedoch mit allen Mitteln – auch elektronischen – erfolgen, die eine „vernünftig kalkulierte“ Chance haben, die betreffende Person zu erreichen. Um diese Anforderung zu erfüllen, schickte das FBI E-Mails mit einer Kopie der Durchsuchungsbefehle an die mit den Domänennamen verknüpften E-Mail-Adressen.

Wenn die Domänen einen Datenschutzdienst nutzten, der die zugehörige E-Mail-Adresse verbarg, setzte sich das FBI mit den Registrierstellen und Internet-Providern in Verbindung und bat sie, die IP-Besitzer zu informieren.

Maßnahmen für Watchguard-Kunden

Watchguard selbst veröffentlichte Informationen für Kunden über die potenziellen Auswirkungen von Cyclops Blink:

► Etwa ein Prozent der aktiven Watchguard- Firewalls könnten von Cyclops Blink infiziert sein. Andere Produkte des Herstellers seien davon nicht betroffen.

► Gefährdet seien nur Appliances, bei deren Einsatz ein uneingeschränkter Management-Zugriff aus dem Internet (Unrestricted Management Access) per Konfiguration erlaubt wurde. Da nach Angaben des Herstellers im Auslieferungszustand alle Firewall-Appliances von Watchguard mit eingeschränktem Verwaltungszugriff (Restricted Management Access) vorkonfiguriert sind, sind diese Geräte davon nicht betroffen.

► Es gibt laut Watchguard keine Hinweise auf einen Datenabfluss beim Hersteller selbst oder bei seinen Kunden.

► Das eigene Netzwerk sei nicht beeinträchtigt oder infiltriert.

► Da die Firewall-Appliances von Watchguard vorrangig von Geschäftskunden genutzt würden, bestehe kein Grund zu der Annahme, dass Endkunden durch die Aktivitäten von Cyclops Blink beeinträchtigt würden.

Watchguard stellt eine Reihe von Tools zur Erkennung und Beseitigung bereit. Die empfohlenen Maßnahmen sind im „Cyclops Blink Diagnosis and Remediation Plan“ beschrieben. (ms)