Mercoledì 23 febbraio, le agenzie di sicurezza informatica di Regno Unito, Cybersecurity and infrastructure security agency (Cisa), e Stati Uniti, National cybersecurity center (Ncsc), hanno rilevato un nuovo malware collegato a Sandworm – uno dei più temuti gruppi di cybercriminali russi che si pensa faccia parte dell’agenzia di intelligence militare Gru – indirizzato ai dispositivi di rete. Non è ancora chiaro il suo scopo, ma la recente situazione in Ucraina esorta a prestare attenzione in prospettiva di attacchi informatici di grande impatto.
Cyclops Blink è il nome che è stato scelto per questa nuova minaccia rilevata all’interno dei sistemi firewall che WatchGuard ha messo in commercio a giugno del 2019 e che sembra essere il successore di VPNFilter, un malware utilizzato nel 2018 da gruppi di hacker russi collegati allo stato in attacchi utilizzati per compromettere i dispositivi di rete, soprattutto router, al fine di accedere alle reti. L’Ncsc ha inoltre segnalato che Sandworm potrebbe essere in grado di sfruttare questo malware per altre architetture e firmware, che potrebbe aver già infettato altri router utilizzati in aziende e abitazioni e che la sua diffusione sia estesa e senza distinzioni. L’obiettivo di Sandworm non è ancora chiaro: potrebbe avere come scopo quello di espandere la sua rete di sistemi violati per utilizzarli come futura infrastruttura di comunicazione oppure potrebbe voler prendere di mira le reti per scatenare attacchi informatici.
WatchGuard ha spiegato che gli attacchi sono andati a buon fine a causa di una vulnerabilità sfruttabile solo quando un’interfaccia di controllo dei dispositivi viene esposta a internet, vulnerabilità risolta con un aggiornamento rilasciato a maggio 2021. Sembra che Sandwom abbia inoltre utilizzato anche una vulnerabilità presente nella modalità con cui i dispositivi di Watchguard verificano la legittimità degli aggiornamenti del firmware, scaricando il proprio firmware sui dispositivi firewall e installandolo in modo che il malware possa sopravvivere ai riavvii.
WatchGuard ha reso disponibili degli strumenti utili a rilevare se un firewall è stato colpito e all’occorrenza, a cancellare e reinstallare il software. In un articolo ha poi spiegato di aver sviluppato, grazie anche al lavoro a stretto contatto con FBI, CISA, DOJ (Department of Justice) e l’NCSC, un rimedio per eliminare la minaccia di Cyclops Blink: gli utenti possono attuare prontamente il Piano di Diagnosi e Remediation in 4 fasi che permette ai clienti di diagnosticare, rimediare, prevenire e, nel caso in cui venga rilevata un’infezione, indagare.
Watchguard specifica inoltre che:
- L’attacco di Cyclops Blink ha interessato circa l’1% delle appliance firewall WatchGuard attive e non ha colpito nessun altro prodotto WatchGuard
- Se le appliance firewall non sono mai state configurate per consentire l’accesso illimitato alla gestione da internet non sono a rischio, precisando che l’accesso alla gestione limitato è un’impostazione predefinita per tutti i dispositivi firewall fisici di WatchGuard
- Non ci sono prove di esfiltrazione di dati da WatchGuard o dai suoi clienti
- La rete di WatchGuard non è stata violata o danneggiata
Il rischio di attacchi cibernetici alle infrastrutture principali del nostro Paese è una delle reazioni che la guerra in Ucraina rischia di innescare. A seguito degli attacchi alle principali infrastrutture ucraine da parte di hacker di nazionalità russa, gli analisti sono convinti che gli attacchi aumenteranno già dai prossimi giorni per propagarsi poi anche nel resto dell’Europa. Per questo motivo, la settimana scorsa l’Agenzia per la cybersicurezza ha alzato il livello di allerta al massimo inviando un warning specifico alle infrastrutture strategiche.
A questo proposito riportiamo le dichiarazioni di Clusit, l’Associazione Italiana per la Sicurezza Informatica, che spiega come reagire tempestivamente a possibili attacchi:
- Seguire le indicazioni del Csirt: il Computer Security Incident Response Team che è attivo nel fornire indicazioni di scenario e su minacce e vulnerabilità specifiche, sottolineando che il team italiano dispone di informazioni tempestive a cui non tutte le fonti hanno accesso
- Per le aziende che lavorano con Ucraina e Russia: aumentare il livello di allerta a possibili anomalie che possano essere sinonimo di attacchi in corso; questa indicazione vale indistintamente per tutte le organizzazioni, nel caso in cui l’Italia diventi più direttamente oggetto di attacco
- La formazione e le policy interne: questa è l’occasione per ricordare al proprio personale le politiche aziendali in termini di sicurezza delle informazioni, portando l’attenzione alle best practices da seguire per evitare di essere vittime di attacchi di phishing o veicolo di attacchi da parte di malware
- Verifica e aggiornamento dei sistemi: verificare l’efficacia delle proprie misure di sicurezza, la disponibilità e la correttezza di backup aggiornati e offline, l’efficacia dei processi e meccanismi di disaster recovery e che servizi di early warning e threat intelligence siano attivi, funzionanti e monitorati.