Le Federal Bureau of Investigation a révélé qu’il avait mené une opération en mars pour cibler un énorme botnet contrôlé par les services de renseignement russes.
L’opération a été autorisée par les tribunaux de Californie et de Pennsylvanie, permettant au FBI de copier et de supprimer le soi-disant malware Cyclops Blink de ses serveurs de commande et de contrôle, également connus sous le nom de C2, permettant au FBI de couper les connexions à des milliers d’appareils infectés compromis. qui recevaient des instructions des serveurs.
Le ministère de la Justice a annoncé mercredi l’opération de mars, la qualifiant de “réussie”, mais a averti que les propriétaires d’appareils devraient toujours revoir l’avis initial du 23 février pour sécuriser leurs appareils compromis et empêcher la réinfection.
Le ministère de la Justice a déclaré que depuis que la nouvelle de la menace croissante de Cyclops Blink est apparue pour la première fois en février, des milliers d’appareils compromis ont été sécurisés par les propriétaires, mais ont justifié son opération ordonnée par le tribunal car la «majorité» des appareils infectés étaient encore compromis quelques semaines seulement. plus tard à la mi-mars.
On pense que Cyclops Blink est le successeur de VPNFilter, un botnet largement négligé après avoir été exposé par des chercheurs en sécurité en 2018 et plus tard ciblé par une opération du gouvernement américain pour perturber ses serveurs de commande et de contrôle. Cyclops Blink et VPNFilter sont tous deux attribués à Sandworm, un groupe de hackers travaillant pour le GRU russe, l’unité de renseignement militaire du pays.
Selon le ministère de la Justice, l’ordonnance du tribunal a eu «l’effet immédiat d’empêcher Sandworm d’accéder à ces appareils C2, perturbant ainsi le contrôle par Sandworm des appareils robots infectés contrôlés par les appareils C2 corrigés».
“L’opération n’impliquait aucune communication du FBI avec des robots”, a déclaré le ministère de la Justice.
Les autorités américaines n’ont pas spéculé sur l’objectif du botnet Cyclops Blink, mais les chercheurs en sécurité affirment que le botnet est capable de collecter des informations et de mener de l’espionnage, de lancer des attaques par déni de service distribuées qui surchargent les sites Web et les serveurs avec du trafic indésirable, ainsi que des attaques destructrices. attaques qui rendent les appareils inutilisables et provoquent des perturbations du système et du réseau.
Sandworm est particulièrement connu pour avoir lancé des piratages perturbateurs au fil des ans, notamment en mettant hors ligne le réseau électrique ukrainien, en utilisant des logiciels malveillants pour tenter de faire exploser une usine pétrochimique saoudienne et, plus récemment, en déployant un essuie-glace destructeur ciblant le réseau satellite Viasat au-dessus de l’Ukraine et de l’Europe.
John Hultquist, vice-président de l’analyse du renseignement chez Mandiant, a déclaré en réponse à l’opération du FBI :
Sandworm est la première capacité de cyberattaque russe et l’un des acteurs qui nous préoccupe le plus à la lumière de l’invasion. Nous craignons qu’ils ne soient utilisés pour atteindre des cibles en Ukraine, mais nous craignons également qu’ils ne touchent des cibles en Occident en représailles à la pression exercée sur la Russie.
En avril dernier, le FBI a lancé la première opération du genre pour copier et supprimer une porte dérobée laissée par des espions chinois, qui avaient piraté en masse des milliers de serveurs Exchange vulnérables afin de voler des listes de contacts et des boîtes de réception.
Mis à jour et corrigé pour clarifier que les appareils compromis n’ont pas été consultés dans le cadre de l’opération du FBI.
Lire la suite: