Zahlreiche internationale Sicherheitsbehörden und der Hersteller WatchGuard warnen vor dem Cyclops-Blink-Botnet der staatlich-russischen Cybergang Sandworm, auch unter dem Namen Voodoo Bear bekannt. Es ersetze inzwischen das VPNFilter-Botnet und infiltriere WatchGuard-Firewalls mit Cyclops Blink. Diese dienen den Cyberkriminellen unter anderem als Comand-and-Control-Server (C2), aber auch als Drohnen im Botnetz. WatchGuard hat eine Anleitung mit Tools bereitgestellt, mit denen Administratoren eine Infektion erkennen und beseitigen können. Der Hersteller schätzt, dass bis zu ein Prozent aller WatchGuard-Firewalls davon betroffen sind. Diese müssten jedoch abweichend von der Standardkonfiguration den unbeschränkten Verwaltungszugang aus dem Internet aktiviert haben, das ermögliche den Malware-Befall. Der Hersteller betont, dass keine Fälle bekannt seien, bei denen Daten bei Kunden oder WatchGuard selber nach der Infektion abgeflossen seien. Nähere Informationen liefert die US-amerikanische Sicherheitsbehörde CISA. Sie habe zusammen mit dem britischen National Cyber Security Centre (NCSC), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) herausgefunden, dass die Gruppe Sandworm (Voodoo Bear) von der VPNFilter- zur Cyclops-Blink-Malware gewechselt sei. Sandworm stehe mit dem russischen Militärgeheimdienst GRU in Verbindung. Auf das Konto der kriminellen Gruppe gingen laut CISA etwa die Cyberangriffe auf die ukrainische Stromversorgung 2015 und Industroyer 2016 (ein einstündiger Stromausfall in Teilen Kievs), die NotPetya-Malware im Jahr 2017, Angriffe auf die Olympischen Winterspiele und Paralympics 2018 in Korea sowie Cyberangriffe auf Georgien 2019. VPNFilter hatte zeitweise rund 500.000 Router und NAS befallen, vorwiegend SOHO-Modelle. Vorrangig waren Geräte in der Ukraine betroffen, jedoch auch etwa 30.000 in Deutschland. Cyclops Blink, ein modulares Malware-Framework, komme seit Juni 2019 zum Einsatz. Es sei vor allem auf WatchGuard-Geräten vorzufinden. Sandworm könne sie wahrscheinlich aber auch für andere Router und Firmwares kompilieren, warnt die CISA in einer Sicherheitsmeldung. Die Malware sei fortschrittlich und modular. Die Kernfunktionen umfassen etwa die Übermittlung von Geräteinformationen zu einem Kontrollserver sowie das Herunterladen und Ausführen von weiteren Dateien. Zudem können neue Module hinzugefügt werden, während die Malware aktiv ist, wodurch Sandworm weitere benötigte Fähigkeiten nach Bedarf ergänzen könne. Nach der Infektion installiere der Schädling sich als Firmware-Update, um Neustarts zu überstehen. Die Kommunikation im Botnet wird durch TLS mit individuellen Schlüsseln und Zertifikaten abgesichert. Sandworm verwaltet die Drohnen, indem es die Command-and-Control-Server durch das TOR-Netzwerk kontaktieren. Neben WatchGuard liefert auch das NCSC eine Übersicht zur Malware mit einer Liste an Indizien für einen Befall (Indicators of compromise, IOC). Administratoren einer WatchGuard-Firewall sollten aufgrund des russischen Angriffs auf die Ukraine rasch aktiv werden und überprüfen, ob die unbeschränkte Verwaltung aus dem Internet aktiviert und die eigene Firewall infiltriert wurde. Einen etwaigen Befall sollten Administratoren dann umgehend gemäß den Anleitungen von WatchGuard entfernen.