به گفته مقامات ایالات متحده، بات‌نت Cyclops Blink توسط اداره اطلاعات مرکزی فدراسیون روسیه (GRU) کنترل می‌شود و هزاران دستگاه را در سراسر جهان به خطر انداخته است.

یک عملیات رسمی و با تأیید دادگاه علیه یک بات‌نت تحت کنترل روسیه که دستگاه‌های سخت‌افزاری را با بدافزار Cyclops Blink آلوده می‌کرد، در مارس ۲۰۲۲ پس از شناسایی آن در فوریه ۲۰۲۲ راه‌اندازی شده است.

مقامات بریتانیا و ایالات متحده اپراتور‌های آن را به عنوان گروه بدنام Sandworm، که ظاهراً وابسته به مرکز اصلی فناوری‌های ویژه GRU روسیه هستند، ردیابی کردند. این گروه قبلاً با چندین حمله مخرب مرتبط بود، مانند حمله NotPetya در سال ۲۰۱۷ و کمپین «BlackEnergy» در سال ۲۰۱۵، که در آن نیروگاه‌های اوکراین هدف قرار گرفتند.

بدافزار Cyclops Blink چیست؟
بدافزار Cyclops Blink یک بدافزار مدولار است که گمان می‌رود جانشین بات‌نت VPNFilter باشد. این بدافزار دستگاه‌های متصل به اینترنت را از طریق بروزرسانی سیستم عامل مخرب آلوده می‌کند. این بدافزار در حال حاضر دستگاه‌های ASUS و WatchGuard را هدف قرار می‌دهد. Cyclops Blink از طریق فرآیند بروزرسانی سیستم‌افزار قانونی دستگاه که مستقیماً به گروه‌های APT وابسته به دولت روسیه مرتبط است، پایداری خود را حفظ می‌کند.

دستگاه‌های WatchGuard و ASUS هدف قرار رفته توسط Cyclops Blink
سازمان FBI با مشارکت WatchGuard یک بات‌نت عظیم از دستگاه‌های سخت‌افزاری را حذف کرده و همچنین بدافزار که دستگاه‌های فایروال و دستگاه‌های شبکه SOHO را هدف قرار می‌داد نیز حذف گردید. لازم به ذکر است که بدافزار دستگاه‌های ساخته شده توسط WatchGuard Technologies و ASUS را هدف قرار داده است.

مجموعه WatchGuard توصیه‌های ابزار‌های تشخیص و اصلاح را برای دارندگان دستگاه منتشر کرده است و از آن‌ها خواسته است دستگاه‌های خود را به آخرین نسخه فریمور، پچ کنند. علاوه بر این، ASUS دستورالعمل‌هایی را برای کمک به دارندگان دستگاه‌های ASUS در معرض خطر برای کاهش تهدید Cyclops Blink منتشر کرده است.

اگرچه هزاران دستگاه آسیب‌دیده در طی این عملیات با موفقیت اصلاح شدند، وزارت دادگستری ایالات متحده هشدار داد که بسیاری از دستگاه‌های آسیب‌دیده اولیه همچنان آلوده هستند.

بیانیه وزارت دادگستری آمریکا
در یک بیانیه مطبوعاتی، وزارت دادگستری ایالات متحده اعلام کرد که این عملیات ماه گذشته برای مختل کردن یک بات‌نت جهانی دو لایه از هزاران دستگاه سخت‌افزاری شبکه آلوده انجام شد. مکانیسم C2 نیز غیرفعال شد که بات‌ها را از کنترل دستگاه‌های Sandworm C2 جدا کرد. علاوه بر این، مقامات پورت‌های مورد استفاده توسط Sandworm را برای مدیریت بات‌نت از راه دور بسته‌اند.

مریک گارلند، دادستان کل ایالات متحده ادعا کرد که آن‌ها با موفقیت بات‌نت را قبل از اینکه اپراتور‌ها بتوانند از آن استفاده کنند، مختل کرده‌اند و کنترل GRU بر دستگاه‌های آلوده را قبل از استفاده از تسلیحات سایبری، غیرفعال نموده‌اند.

متیو اولسن، دستیار دادستان کل ایالات متحده نیز افزود: "این حذف بدافزار توسط GRU روسیه که توسط دادگاه مجاز دانسته شده است، نشان دهنده تعهد این وزارتخانه برای ایجاد اختلال در هک دولت-ملت با استفاده از تمام ابزار‌های قانونی در اختیار ما است".