Dringende Handlungsempfehlung zu staatlich gesponserter Botnet-Attacke Cyclops Blink

In enger Zusammenarbeit mit dem FBI, der CISA (Cybersecurity & Infrastructure Security Agency), dem DOJ (U.S. Department of Justice) und dem UK NCSC (National Cyber Security Centre) hat WatchGuard das hochentwickelte, staatlich gesponserte Botnet Cyclops Blink untersucht, welches möglicherweise eine begrenzte Anzahl von WatchGuard-Firewall-Appliances (etwa ein Prozent) befallen hat. Eine Handlungsempfehlung mit Maßnahmen zu dessen Beseitigung steht bereits zur Verfügung. Kunden und Partner von WatchGuard können der potenziellen Bedrohung begegnen, indem sie den vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ von WatchGuard zur Diagnose und Gefahrenbehebung sofort umsetzen.

Notwendige Maßnahmen – Erkennung, Beseitigung und Vorbeugung einer Cyclops Blink-Infektion

• WatchGuard – mit Unterstützung des FBI, der CISA, NSA und dem britischen NCSC – empfiehlt allen Partnern und Kunden dringend, die im vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ beschriebenen Maßnahmen unverzüglich zu ergreifen, um die Bedrohung zu diagnostizieren, gegebenenfalls zu beseitigen und eine zukünftige Infektion durch das Botnet zu verhindern
• Die Maßnahmen zur Beseitigung sind nur für tatsächlich infizierte Appliances erforderlich.
• Die Schritte zur Vorbeugung gelten für alle Partner und Kunden.

Umfang der potenziellen Auswirkungen

Auf Grundlage eigener Erkenntnisse und einer gemeinsam mit Mandiant durchgeführten Untersuchung sowie den vom FBI bereitgestellten Informationen ist WatchGuard zu folgendem Schluss gekommen:

• Nach aktuellen Schätzungen könnte Cyclops Blink etwa 1 Prozent der aktiven WatchGuard-Firewall-Appliances infiziert haben. Andere WatchGuard-Produkte sind davon nicht betroffen.
• Gefährdet sind nur Firewall-Appliances, bei deren Einsatz ein uneingeschränkter Management-Zugriff aus dem Internet (Unrestricted Management Access) per Konfiguration erlaubt wurde. Da im Auslieferungszustand alle Firewall-Appliances von WatchGuard mit eingeschränktem Verwaltungszugriff (Restricted Management Access) vorkonfiguriert sind, sind diese Geräte davon nicht betroffen.
• Es gibt keine Hinweise auf einen Datenabfluss bei WatchGuard oder seinen Kunden.
• Das eigene Netzwerk von WatchGuard wurde davon nicht beeinträchtigt oder infiltriert.

Zusätzliche Ressourcen

Das Team arbeitet proaktiv mit Regierungsbehörden und führenden forensischen Experten wie Mandiant, dem FBI, CISA, DOJ und UK NCSC zusammen, um den Angriff zu untersuchen und darauf zu reagieren. Hier finden Sie die aktuellsten Informationen sowie Hinweise und Anleitung zur Umsetzung des „Cyclops Blink Diagnosis and Remediation Plan“:

• WatchGuard's vierstufiger „Cyclops Blink Diagnosis and Remediation Plan“
• Detaillierte Anweisungen zur Durchführung des vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“
• Häufig gestellte Fragen zu Cyclops Blink (FAQ)
• Gemeinsame Verlautbarung des FBI, der CISA, der NSA und des UK NCSC
• Security Best Practices von FBI, CISA, NSA und UK NCSC (siehe “Further Guidance” am Ende der Seite)

Wir danken Ihnen für Ihre kontinuierliche Partnerschaft mit WatchGuard. Wie immer genießt die Unterstützung unserer Partner oberste Priorität und wir werden Sie – falls erforderlich – bei der Diagnose und Behebung dieses Problems unterstützen. Ihr Account Management Team steht bereit, um Ihre Fragen zu beantworten und unser Support Team ist 24/7 für Sie erreichbar.