In enger Zusammenarbeit mit dem FBI, der CISA (Cybersecurity & Infrastructure Security Agency), dem DOJ (U.S. Department of Justice) und dem UK NCSC (National Cyber Security Centre) hat WatchGuard das hochentwickelte, staatlich gesponserte Botnet Cyclops Blink untersucht, welches möglicherweise eine begrenzte Anzahl von WatchGuard-Firewall-Appliances befallen hat. Eine Handlungsempfehlung mit Maßnahmen zu dessen Beseitigung steht bereits zur Verfügung. Kunden und Partner von WatchGuard können der potenziellen Bedrohung begegnen, indem sie den vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ von WatchGuard zur Diagnose und Gefahrenbehebung sofort umsetzen.
Umfang der potenziellen Auswirkungen:
Auf Grundlage eigener Erkenntnisse und einer gemeinsam mit Mandiant durchgeführten Untersuchung sowie den vom FBI bereitgestellten Informationen ist WatchGuard zu folgendem Schluss gekommen:
- Nach aktuellen Schätzungen könnte Cyclops Blink etwa 1 Prozent der aktiven WatchGuard-Firewall-Appliances infiziert haben. Andere WatchGuard-Produkte sind davon nicht betroffen.
- Gefährdet sind nur Firewall-Appliances, bei deren Einsatz ein uneingeschränkter Management-Zugriff aus dem Internet (Unrestricted Management Access) per Konfiguration erlaubt wurde. Da im Auslieferungszustand alle Firewall-Appliances von WatchGuard mit eingeschränktem Verwaltungszugriff (Restricted Management Access) vorkonfiguriert sind, sind diese Geräte davon nicht betroffen.
- Es gibt keine Hinweise auf einen Datenabfluss bei WatchGuard oder seinen Kunden.
- Das eigene Netzwerk von WatchGuard wurde davon nicht beeinträchtigt oder infiltriert.
Da die Firewall-Appliances von WatchGuard vorrangig von Geschäftskunden genutzt werden, besteht kein Grund zur Annahme, dass Endkunden durch die Aktivitäten von Cyclops Blink beeinträchtigt wurden.
Erkennung, Beseitigung und Vorbeugung einer Cyclops Blink-Infektion:
Als Reaktion auf dieses ausgeklügelte, staatlich gesponserte Botnet hat WatchGuard eine Reihe einfacher und benutzerfreundlicher Tools zur Erkennung und Beseitigung entwickelt und bereitgestellt. Im Rahmen eines vierstufigen Prozesses werden Kunden durch die nötigen Schritte zur Diagnose, gegebenenfalls Bekämpfung sowie Verhinderung zukünftiger Infektionen geführt. WatchGuard empfiehlt – mit Unterstützung des FBI, der CISA, NSA und dem britischen NCSC – allen Kunden dringend, die im vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ beschriebenen Maßnahmen unverzüglich zu ergreifen. Dazu noch der Hinweis: Die Maßnahmen zur Beseitigung sind nur für tatsächlich infizierte Appliances erforderlich. Die Schritte zur Vorbeugung gelten jedoch für alle Kunden.
Der vierstufige „Cyclops Blink Diagnosis and Remediation Plan“ enthält alle notwendigen Informationen, um Kunden bei der Auswahl des für ihre individuellen Anforderungen am besten geeigneten Erkennungstools zu unterstützen. Neben der direkten Navigation zu den entsprechenden Diagnosewegzeugen sind – im Falle einer festgestellten Infektion – auch die passenden Gegenmaßnahmen sofort ersichtlich. Darüber hinaus stehen die neuesten Fireware-Downloads, die kritische Korrekturen und neue Sicherheitsfunktionen für einen verbesserten Firmware-Schutz enthalten, unmittelbar zur Verfügung.
Besuchen Sie jetzt detection.watchguard.com, um den vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ einzusehen und anzuwenden.
Zusätzliche Ressourcen
Das Team arbeitet proaktiv mit Regierungsbehörden und führenden forensischen Experten wie Mandiant, dem FBI, CISA, DOJ und UK NCSC zusammen, um den Angriff zu untersuchen und darauf zu reagieren. Im Interesse unserer Kunden, Partner und der gesamten Community geben wir die Informationen über verschiedene Kommunikationskanäle weiter. Zusätzliche Ressourcen sind hier verfügbar:
- WatchGuard’s vierstufiger „Cyclops Blink Diagnosis and Remediation Plan“
- Detaillierte Anweisungen zur Durchführung des vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“
- Häufig gestellte Fragen zu Cyclops Blink (FAQ)
- Gemeinsame Verlautbarung des FBI, der CISA, der NSA und des UK NCSC
- Security Best Practices von FBI, CISA, NSA und UK NCSC (siehe “Further Guidance” am Ende der Seite)
Darüber hinaus steht der WatchGuard-Support rund um die Uhr zur Verfügung, um Kunden und Partner bei der Implementierung dieser Korrekturen zu unterstützen.
Quelle: WatchGuard Blog