Mesures importantes de détection et de remédiation du botnet Cyclops Blink parrainé par des instances étatiques

Travaillant en collaboration étroite avec le FBI, le CISA, le DOJ et le NCSC britannique¹, WatchGuard a mis en place un plan de remédiation à Cyclops Blink, un botnet sophistiqué parrainé par des instances étatiques, susceptible d'avoir infecté un nombre limité d'appliances firewall WatchGuard. Les clients et partenaires de WatchGuard peuvent éliminer la menace potentielle afférente au caractère malicieux de ce botnet en mettant immédiatement en œuvre le Plan de Diagnostic et de Remédiation en 4 étapes ci-dessous.

Mesures - Détection, Remédiation et Prévention des infections induites par Cyclops Blink

• Avec l'appui du FBI, du CISA, de la NSA² et du NCSC britannique, WatchGuard recommande vivement à tous ses partenaires et clients de prendre au plus vite les mesures décrites au sein du Plan en 4 étapes de Diagnostic et de Remédiation de Cyclops Blink afin de diagnostiquer, d'éradiquer si nécessaire et de prévenir toute infection future par le botnet.
• Les étapes de remédiation ne sont nécessaires que si vous avez un appareil infecté.
• Les étapes de protection future sont applicables à tous les partenaires et clients.

Ampleur de l'impact potentiel

Sur la base de notre propre enquête, d'une enquête menée conjointement avec Mandiant et des informations transmises par le FBI, WatchGuard est parvenu aux conclusions suivantes :

• Selon les estimations actuelles, Cyclops Blink pourrait avoir infecté près d'1 % des appliances firewall actives WatchGuard ; aucun autre produit WatchGuard n'est concerné.
• Les appliances firewall qui n'ont jamais été configurées pour permettre un accès illimité à la gestion depuis Internet ne courent aucun risque. L'accès restreint à la gestion est le paramètre par défaut employé pour toutes les appliances firewall matérielles WatchGuard.
• Il n'y a aucune preuve d'exfiltration des données de WatchGuard ou de ses clients.
• Le réseau de WatchGuard n'a fait l'objet d'aucune attaque ou violation.

Ressources complémentaires

L'équipe a collaboré proactivement avec les autorités gouvernementales et les principaux experts en informatique légale, comme Mandiant, le FBI, le CISA, le DOJ et le NCSC britannique, pour enquêter et répondre à l'attaque. Les ressources ci-après procurent les informations et orientations nécessaires à la mise en œuvre du Plan en 4 étapes de Diagnostic et de Remédiation de Cyclops Blink.

• Billet paru sur le Blog WatchGuard (en français)
• WatchGuard’s 4-Step Cyclops Blink Diagnosis and Remediation Plan
• Detailed Instructions for Enacting the 4-Step Cyclops Blink Diagnosis and Remediation Plan
• Cyclops Blink Frequently Asked Questions (FAQ)
• Joint Government Advisory Issued by the FBI, CISA, NSA, and the UK NCSC
• Security Best Practices Provided By FBI, CISA, NSA, and UK NCSC (voir la section Further Guidance)

Comme à l’accoutumée, accompagner nos partenaires est pour WatchGuard une priorité absolue aussi nous engageons-nous à vous aider à diagnostiquer et à résoudre tout éventuel problème induit par le botnet. Nous nous tenons prêts à répondre à vos questions ; le service WatchGuard Support reste quant à lui accessible 24 h sur 24.

 

¹ Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Department of Justice, and UK National Cyber Security Centre.
² National Security Agency