Mesures de détection et de remédiation du botnet Cyclops Blink parrainé par des instances étatiques
Travaillant en collaboration étroite avec le FBI, le CISA, le DOJ et le NCSC britannique1 , WatchGuard a mis en place un plan de remédiation à Cyclops Blink, un botnet sophistiqué parrainé par des instances étatiques, susceptible d'avoir infecté un nombre limité d'appliances firewall WatchGuard. Les clients et partenaires de WatchGuard peuvent éliminer la menace potentielle afférente au caractère malicieux de ce botnet en mettant immédiatement en œuvre un Plan de Diagnostic et de Remédiation en 4 étapes.
Ampleur de l'impact potentiel
Sur la base de notre propre enquête, d'une enquête menée conjointement avec Mandiant et des informations transmises par le FBI, WatchGuard est parvenu aux conclusions suivantes :
- Selon les estimations actuelles, Cyclops Blink pourrait avoir infecté près d'1% des appliances firewall actives WatchGuard ; aucun autre produit WatchGuard n'est concerné.
- Les appliances firewall qui n'ont jamais été configurées pour permettre un accès illimité à la gestion depuis Internet ne courent aucun risque. L'accès restreint à la gestion est le paramètre par défaut employé pour toutes les appliances firewall matérielles WatchGuard.
- Il n'y a aucune preuve d'exfiltration des données de WatchGuard ou de ses clients.
- Le réseau de WatchGuard n'a fait l'objet d'aucune attaque ou violation.
Les appliances firewall WatchGuard sont surtout utilisées par des clients professionnels. Nous n'avons donc aucune raison de croire que les activités de Cyclops Blink visant des appliances WatchGuard aient eu un impact sur des consommateurs individuels.
Détection, Remédiation et Prévention des infections induites par le Cyclops Blink
En réponse aux agissements de ce botnet sophistiqué parrainé par des instances étatiques, WatchGuard a développé et publié un ensemble d'outils simples et faciles d'emploi permettant de le détecter, ainsi qu'un processus en 4 étapes pour aider les clients à établir un diagnostic, prendre si nécessaire des mesures correctives et prévenir toute infection future. Avec l'appui du FBI, du CISA, de la NSA2 et du NCSC britannique, WatchGuard recommande vivement à tous les clients de prendre au plus vite les mesures décrites au sein du Plan en 4 étapes de Diagnostic et de Remédiation du Cyclops Blink. Veuillez noter que les étapes de remédiation ne sont nécessaires que si vous avez un appareil infecté ; les étapes de protection future sont, en revanche, applicables à tous les clients décrits au sein de ce même plan.
Le Plan recommandé en 4 étapes de Diagnostic et de Remédiation du Cyclops Blink comprend des informations qui aident les clients à choisir l'outil de détection le plus conforme à leurs besoins respectifs. En cas d'infection, il leur permet de naviguer directement vers l'outil de détection et les instructions de remédiation les plus appropriés, ainsi que d'accéder aux derniers téléchargements de Fireware, lesquels contiennent les correctifs critiques et les nouvelles fonctions de sécurité indispensables pour une protection renforcée des firmwares.
Pour examiner et appliquer dès maintenant le Plan en 4 étapes de Diagnostic et de Remédiation du botnet Cyclops Blink, rendez-vous sur le site detection.watchguard.com.
Ressources complémentaires
L'équipe a collaboré proactivement avec les autorités gouvernementales et les principaux experts en informatique légale, comme Mandiant, le FBI, le CISA, le DOJ et le NCSC britannique, pour enquêter et répondre à l'attaque. Nous partageons les informations sur plusieurs canaux de communication dans le meilleur intérêt de nos clients, de nos partenaires et de la communauté de sécurité au sens large. Des ressources complémentaires sont disponibles ci-après :
- WatchGuard’s 4-Step Cyclops Blink Diagnosis and Remediation Plan
- Detailed Instructions for Enacting the 4-Step Cyclops Blink Diagnosis and Remediation Plan
- Cyclops Blink Frequently Asked Questions (FAQ)
- Joint Government Advisory Issued by the FBI, CISA, NSA, and the UK NCSC
- Security Best Practices Provided By FBI, CISA, NSA, and UK NCSC (voir la section Further Guidance)
Comme à l’accoutumée, le service WatchGuard Support reste accessible 24 h sur 24 et 7 jours sur 7 pour assister nos clients et partenaires dans la mise en œuvre des correctifs qui s’imposent.
1 Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Department of Justice, and UK National Cyber Security Centre.
2 National Security Agency