Ο   Sandworm – που θεωρείται υπεύθυνος για τις κυβερνοεπιθέσεις στην Ουκρανία τα τελευταία χρόνια – έχει αλλάξει το κακόβουλο λογισμικό VPNFilter που είχε εκτεθεί από την Cisco Talos το 2018 με το Cyclops Blink, ένα πλαίσιο μεγάλης κλίμακας, σύμφωνα με βρετανικό φύλακα κυβερνοασφάλειας.

O Sandworm χρησιμοποίησε το VPNFilter για να πραγματοποιήσει εκτεταμένες επιθέσεις, οι οποίες περιελάμβαναν τη διακοπή της παροχής ρεύματος στην Ουκρανία από την BlackEnergy το 2015 και μια αυξημένη στόχευση υπηκόων στη χώρα αυτή τη χρονιά που αποκαλύφθηκε. Οι επιθέσεις πιστεύεται ότι συνίστανται κυρίως σε χειραγώγηση ψηφιακής κυκλοφορίας και καταστροφή στοχευμένων συσκευών.

Γνωστός και ως Voodoo Bear, ο Sandworm έχει συνδεθεί στο παρελθόν από το FBI με τη Διεύθυνση Πληροφοριών της Ρωσίας και θεωρείται επίσης υπεύθυνος για τις καταστροφικές επιθέσεις στον κυβερνοχώρο NotPetya, επίσης στην Ουκρανία, το 2017.

Μεταξύ 2018 και 2021, οι επιθέσεις από Sandworm χρησιμοποιώντας VPNFilter απορρίφθηκαν κατά περίπου τα δύο τρίτα, και φαίνεται ότι η ομάδα χάκερ που υποστηρίζεται από τη Ρωσία αποφάσισε να ανακατασκευάσει, δήλωσε η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).

Το Cyclops Blink, που λειτουργεί από το 2019, θεωρείται ότι λειτουργεί σε παρόμοιες γραμμές με τον προκάτοχό του, πραγματοποιώντας εκτεταμένες αδιάκριτες επιθέσεις σε συσκευές δικτύου.

«Το κακόβουλο λογισμικό είναι εξελιγμένο και αρθρωτό με  βασική λειτουργικότητα [και είναι σε θέση] να μεταφέρει πληροφορίες συσκευής πίσω σε έναν διακομιστή και να επιτρέπει τη λήψη και την εκτέλεση αρχείων», δήλωσε η CISA. “Υπάρχει επίσης λειτουργικότητα για την προσθήκη νέων μονάδων ενώ εκτελείται το κακόβουλο λογισμικό, η οποία επιτρέπει στο Sandworm να εφαρμόσει πρόσθετες δυνατότητες όπως απαιτείται.”

Πρόσθεσε: «Μετά την εκμετάλλευση, το Cyclops Blink αναπτύσσεται γενικά ως μέρος μιας «ενημέρωσης» υλικολογισμικού. Αυτό επιτυγχάνει ανθεκτικότητα κατά την επανεκκίνηση της συσκευής και δυσκολεύει την αποκατάσταση. Οι συσκευές θυμάτων είναι οργανωμένες σε συμπλέγματα και κάθε ανάπτυξη του Cyclops Blink έχει μια λίστα με διευθύνσεις IP εντολών και ελέγχου και θύρες που χρησιμοποιεί. Όλες οι γνωστές διευθύνσεις IP μέχρι σήμερα έχουν χρησιμοποιηθεί από παραβιασμένες συσκευές τείχους προστασίας WatchGuard.”