Venäläiseen tiedustelupalveluun yhdistetyn hakkeriryhmän asetta ei Yhdysvaltojen mukaan edes ehditty käyttää ennen sen tekemistä vaarattomaksi. Käytettynä se olisi voinut tietää palvelunestohyökkäyksiä tai muita kyberiskuja Ukrainassa.
Yhdysvallat tiedotti keskiviikkona onnistuneensa tuhoamaan venäläishakkerien hallinnoiman maailmanlaajuisen bottiverkon. Cyclops Blink -nimistä haittaohjelmaa ei ehditty käyttää ennen sen kaatamista. Operaatiossa olivat mukana Yhdysvaltain oikeusministeriö ja liittovaltion poliisi FBI.
Bleeping Computerin mukaan bottiverkkoa operoi venäläinen hakkerijengi Sandworm, joka työskentelee Venäjän sotilastiedustelupalvelulle eli GRU:lle. Jengin epäillään olleen vastuussa muun muassa laajoja sähkökatkoja Ukrainassa vuosina 2015–2016 aiheuttaneista BlackEnergy-iskuista, Ukrainan pankkeihin kohdistuneissa KillDisk-iskuista sekä yrityksiin ympäri maailman iskeneestä NotPetya-kiristyshaittaohjelmasta.
WatchGuard Firebox -palomuureihin ja Asus-reitittimiin erikoistuvalla haittaohjelmalla hakkerit pystyivät luomaan etäkäyttöyhteyden saastutetuille laitteille. Haittaohjelmaan on helppo tehdä päivityksiä, joiden avulla sitä voidaan levittää uusiin laitteisiin.
Yhdysvaltain oikeusministerin Merrick Garlandin mukaan Venäjä on käyttänyt vastaavaa järjestelmää kyberhyökkäyksiinsä myös Ukrainassa. Venäjän epäillään suunnitelleen käyttävän bottiverkkoa sekä Ukrainassa että länsimaihin kohdistuvissa hyökkäyksissä.
”Sandworm-hakkerit yhdistivät laitteet siten, että verkon hallinnoija jäi hämärän peittoon. Verkon yhdistettyä laskentatehoa voitiin käyttää haittaohjelma- tai palvelunestohyökkäyksiin, joita on nähty jo Ukrainassa”, kommentoi FBI:n johtaja Chris Wray.
Saastuneita laitteita oli Garlandin mukaan tuhansia ympäri maailman. Haittaohjelma on saatu poistettua saastuneilta laitteilta. FBI:n johtaja Wray kuitenkin kehottaa Firebox-palomuurilaitteiden omistajia käymään laitteet läpi valmistajan ohjeiden mukaisesti.