Blog WatchGuard

Importanti azioni di rilevamento e remediation per la state-sponsored botnet Cyclops Blink

Lavorando a stretto contatto con FBI, CISA, DOJ e l’NCSC1 del Regno Unito, WatchGuard ha studiato e sviluppato un rimedio per Cyclops Blink, una sofisticata state-sponsored botnet , che potrebbe aver interessato un numero limitato di dispositivi firewall WatchGuard. I clienti e i partner di WatchGuard possono eliminare la potenziale minaccia rappresentata da attività malevole della botnet attuando immediatamente il Piano di Diagnosi e Remediation contro Cyclops Blink in 4 fasi di WatchGuard.

Ambito del potenziale attacco:

Sulla base della nostra indagine, di un'indagine condotta insieme a Mandiant e delle informazioni fornite dall'FBI, WatchGuard ha concluso quanto segue:

  • Sulla base delle stime attuali, Cyclops Blink potrebbe aver interessato circa l'1% delle appliance firewall WatchGuard attive; nessun altro prodotto WatchGuard è interessato.
  • Le appliance firewall non sono a rischio se non sono mai state configurate per consentire l'accesso illimitato alla gestione da Internet. L'accesso alla gestione limitato è l'impostazione predefinita per tutti i dispositivi firewall fisici di WatchGuard.
  • Non ci sono prove di esfiltrazione di dati da WatchGuard o dai suoi clienti.
  • La rete di WatchGuard non è stata danneggiata o violata.

Le appliance firewall di WatchGuard sono utilizzate principalmente dai clienti aziendali. Pertanto, non abbiamo motivo di ritenere che le attività di Cyclops Blink che interessano i dispositivi WatchGuard abbiano avuto un impatto sui singoli utenti.

Rilevamento, remediation e prevenzione dell'infezione Cyclops Blink:

In risposta a questa sofisticata state-sponsored botnet, WatchGuard ha sviluppato e rilasciato una serie di strumenti di rilevamento di Cyclops Blink semplici e facili da usare, nonché un processo in 4 fasi per aiutare i clienti a diagnosticare, rimediare se necessario e prevenire una futura infezione. WatchGuard, supportata da FBI, CISA, NSA2 e dall'NCSC del Regno Unito, raccomanda vivamente a tutti i clienti di intraprendere tempestivamente le azioni descritte nel Piano di Diagnosi e Remediation contro Cyclops Blink in 4 fasi. Tieni presente che i passaggi di remediation sono necessari solo se hai un'appliance infetta; tuttavia, le future fasi di protezione sono applicabili a tutti i clienti.

Il Piano raccomandato per la Diagnosi e la Remediation contro Cyclops Blink in 4 fasi include informazioni per aiutare i clienti a selezionare lo strumento di rilevamento più appropriato per le loro esigenze individuali. Consente, inoltre, ai clienti di accedere direttamente allo strumento di rilevamento più appropriato e alle istruzioni di remediation nel caso in cui rilevino un'infezione, nonché agli ultimi download del sistema operativo Fireware che contengono correzioni critiche e nuove funzionalità di sicurezza obbligatorie per una protezione del firmware migliorata.

Visita detection.watchguard.com per vedere e mettere in atto ora il Piano di Diagnosi e Remediation contro  Cyclops Blink in 4 fasi

Risorse ulteriori

Il team ha lavorato in modo proattivo con le autorità governative e i principali esperti forensi, tra cui Mandiant, FBI, CISA, DOJ e l’NCSC del Regno Unito, per indagare e rispondere all'attacco. Condividiamo le informazioni attraverso diversi canali di comunicazione nel migliore interesse dei nostri clienti, partner e della più ampia comunità di sicurezza. Ulteriori risorse sono disponibili qui:

Come sempre, il Supporto WatchGuard è disponibile 24/7 per aiutare clienti e partner a implementare queste correzioni.

 

1 Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Department of Justice, and UK National Cyber Security Centre.
2 National Security Agency

Condividi questo:

Classificati sotto: Security Operations, Appliance Firebox