Cyclops Blink Warnung vor mächtiger russischer Schadsoftware im Ukraine-Konflikt
Britische und US-amerikanische Nachrichtendienste konnten eine gefährliche neue Schadsoftware einer staatsnahen russischen Hackergruppe zuordnen. Diese könnte jetzt auch verstärkt gegen die Ukraine eingesetzt werden.
Eine neue, fortschrittliche Schadsoftware mit dem Namen Cyclops Blink ist offenbar das jüngste Angriffswerkzeug der russlandnahen Hackergruppe Sandworm. Zu diesem Schluss kommen die Cybersicherheitsbehörden der USA und Großbritanniens – und haben deshalb einen gemeinsamen Sicherheitsbericht zu Cyclops Blink veröffentlicht.
Laut der Analyse durch das britische National Cyber Security Centre (NCSC) und die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) ist Cyclops Blink eine fortschrittliche Schadsoftware, die mindestens seit Juni 2019 unbemerkt aktiv ist.
Cyclops Blink sei modular aufgebaut und könne bei Bedarf neue Funktionsmodule auf ein infiziertes Gerät nachladen. Typisch sei aber der Dateizugriff und die Möglichkeit, Code auf den betroffenen Geräten auszuführen. Zudem schreibt sich die Schadsoftware in die Firmware der befallenen Geräte ein – weshalb auch ein Neustart ihr nichts anhaben kann und die Beseitigung zudem komplizierter ist.
Vor allem Unternehmen und Behörden sind Ziel der Angriffe
Bislang werden von Cyclops Blink vor allem Netzwerkgeräte des Unternehmens Watchguard angegriffen, da bestimmte Modelle hier in der Standardkonfiguration eine Angriffsmöglichkeit liefern. Nach Einschätzung von CISA ist die Gruppe Sandworm aber in der Lage, ihre Schadsoftware auch an andere Geräte anzupassen.
Damit ist Cyclops Blink allerdings klar ein Werkzeug, das auf Unternehmen und Behörden zielt, die entsprechende Netzwerksicherheitshardware einsetzen. Laut Watchguard sind rund ein Prozent ihrer Geräte von der Schadsoftware infiziert. Unternehmen, die ein infiziertes Gerät bei sich feststellen, müssten davon ausgehen, dass alle angeschlossenen Geräte ebenfalls betroffen seien und sollten deshalb umgehend die Verbindung zum Internet trennen.
Bislang sei Cyclops Blink weit gestreut eingesetzt worden, heißt es in der Analyse. Allerdings gilt die verantwortliche Hackergruppe Sandworm als Elite der russisch-unterstützten Cyberspione. Die Hacker sollen laut Informationen von FBI, NSSC und CISA Verbindungen zum russischen Militärnachrichtendienst GRU und dessen Hauptzentrum für Spezialtechnologien (GTsST) haben.
Erfolgreichste Gruppe bei Angriffen auf kritische Infrastruktur
Die Gruppe soll demnach unter anderem für einen massiven Angriff auf das ukrainische Stromnetz im Jahr 2015 verantwortlich sein. Außerdem soll sie auch hinter der verheerenden Schadsoftware NotPetya stecken, die 2017 laut Einschätzung der US-Regierung für einen Gesamtschaden von über zehn Milliarden US-Dollar verantwortlich war. Auch NotPetya griff zunächst Ziele in der Ukraine an, bevor sich die Schadsoftware von dort aus weltweit weiterverbreitete.
Entsprechend dürfte die Neuentdeckung insbesondere auch für die Ukraine besorgniserregend sein. Das bestätigte auch das Cybersicherheitsunternehmen Mandiant auf Nachfrage von t-online. Mandiant hat gemeinsam mit Watchguard den Cyclops-Blink-Schädling untersucht und analysiert. Angesichts der Ukraine-Krise sei man über die Beteiligung von Sandworm "sehr besorgt", erklärte John Hultquist, Chef-Sicherheitsexperte des Unternehmens.
So habe Sandworm alle anderen Gruppen "in Sachen aggressiver Cyberangriffe und Spionageaktionen übertroffen", erklärt er. "Kein anderer russischer Akteur war so dreist und erfolgreich dabei, kritische Infrastruktur in der Ukraine und anderswo zu stören".
- The Guardian: Russia-backed hackers behind powerful new malware, UK and US say
- CISA: New Sandworm Malwware Cyclops Blinks
- Eigene Recherchen