Le démantèlement par le FBI du botnet Cyclops Blink suggère une nouvelle position agressive
Le département américain de la Justice a annoncé hier qu’il avait interrompu un botnet exploité par un groupe lié à l’agence de renseignement russe GRU. Le FBI a neutralisé le botnet, connu sous le nom de Cyclops Blink, en coupant ses serveurs de commande et de contrôle et en supprimant les logiciels malveillants des périphériques réseau utilisés par les entreprises. Cette méthode agressive de lutte contre les botnets pourrait indiquer une poussée coordonnée contre la cybercriminalité russe après l’invasion de l’Ukraine, ont déclaré des experts. Moniteur technique.
Comment le FBI a-t-il éliminé le botnet Cyclops Blink ?
Afin de supprimer le botnet Cyclops Blink, le FBI a obtenu un mandat de perquisition autorisé par le tribunal autorisant l’accès et l’effacement de ses serveurs de commande et de contrôle.
Il a également supprimé les logiciels malveillants de milliers de périphériques réseau qui étaient sous le contrôle des botnets, y compris les appliances de pare-feu WatchGuard et les routeurs ASUS, et a fermé leur connexion aux serveurs de commande et de contrôle. (Watchguard et ASUS ont tous deux publié des conseils de sécurité sur Cyclops Blink.)
Nous avons supprimé les logiciels malveillants des appareils utilisés par des milliers de petites entreprises pour la sécurité du réseau dans le monde entier, a déclaré hier le directeur du FBI, Christopher Wray, lors d’une conférence de presse. Et puis nous avons fermé la porte que les Russes avaient utilisée pour entrer.
Sandworm, le groupe APT exploitant le botnet, avait utilisé ces appareils pour étendre la portée des botnets, a déclaré le DoJ. Ces périphériques réseau sont souvent situés sur le périmètre d’un réseau informatique victime, offrant ainsi à Sandworm la capacité potentielle de mener des activités malveillantes contre tous les ordinateurs de ces réseaux, a-t-il expliqué dans un communiqué.
Sandworm serait une cyber-unité militaire de l’agence de renseignement russe GRU. En 2020, le ministère américain de la Justice a accusé six membres présumés du GRU d’activités cybercriminelles liées à Sandworm, y compris le logiciel malveillant NotPetya qui ciblait les institutions ukrainiennes pendant le conflit de 2014.
Contenu de nos partenaires
Une nouvelle position agressive dans le cyberespace
Les techniques employées par le FBI dans le démantèlement de Cyclops Blink sont relativement nouvelles, explique Jon Andrews, vice-président de la société de sécurité EMEA Gurucul. Habituellement, la technique d’atténuation consiste à acheminer le trafic ailleurs afin que l’infrastructure ne soit pas paralysée par une attaque DDoS, dit-il. Dans ce cas, [the FBI] coupez essentiellement le botnet de sa source afin qu’il ne puisse pas fonctionner, en coupant essentiellement ses jambes par en dessous.
C’est une technique d’atténuation vraiment intéressante, ajoute Andrews. Ce n’est pas quelque chose que j’ai vu comme largement utilisé.
L’annonce a peut-être été programmée pour envoyer un message au gouvernement russe, qui utiliserait des cyberattaques dans le cadre de son assaut contre l’Ukraine, suggère Andrews. Ils annoncent le fait qu’ils peuvent complètement égaliser ce type de menace à un moment où l’on parle d’intensification des cyberattaques.
La tactique suggère que le FBI s’est vu accorder une nouvelle autorité pour lutter contre les menaces de cybersécurité de manière agressive, déclare Greg Austin, responsable du programme cyber, espace et conflits futurs à l’Institut international d’études stratégiques. Cela ressemble certainement à un nouveau terrain d’innovation pour le FBI, dit-il. Il est probable qu’ils aient reçu une autorité et une approbation claire pour le faire.
Cela indique les préoccupations accrues des États-Unis en matière de cybersécurité suite à l’invasion de l’Ukraine par la Russie, explique Austin. N’opéraient pas au rythme ou au niveau de préoccupation de sécurité que nous avions avant l’invasion de l’Ukraine, poursuit Austin. C’est très rehaussé. Et de la même manière que les Américains ont apporté une aide militaire à l’Ukraine, ils ont apporté une aide à la cybersécurité à l’Ukraine.
Nous pouvons nous attendre à ce que les États-Unis agissent unilatéralement dans le cyberespace à un niveau beaucoup plus robuste contre la Russie qu’avant le 24 février, conclut Austin.