در ماه مارس، ادارهی تحقیقات فدرال (FBI)، باتنتی را در مقیاسی بزرگ که متعلق به مهاجمی تهدیدکننده تحت حمایت از دولت روسیه بهنام Sandworm بود را حذف کرد.
طبق گزارشی که از Sandworm در TechCrunch بهدست آمده است، هزاران نقطهی پایانی با بدافزار Cyclops Blink، جانشین VPNFilter که اکنون از بین رفته است، آلوده شدهاند. Cyclops Blink به Sandworm اجازه میدهد تا بهآسانی جاسوسی سایبری انجام دهد، حملات DDoS را راهاندازی کند، دستگاههایی که در معرض خطر هستد را مسدود کند و حتی شبکهها را مختل کند.
پس از دریافت کردن چراغ سبز از دادگاههای کلیفرنیا و پنسیلوانیا، FBI بلافاصله Cyclops Blink را از سرورهای C2 خود حذف کرد و هزاران نقطهی پایانی که در معرض خطر بودند را قطع کرد.
وزارت دادگستری در روز چهرشنبه، عملیات مارس را اعلام کرد و آن را “موفقیتآمیز” توصیف کرد، با این حال به صاحبان دستگاه هشدار داد که همچنان توصیههای اویله 23 فوریه را جهت ایمن کردن دستگاههای آسیبدیدهی خود جهت جلوگیری از این اتفاق، بررسی کند.
وزارت دادگشتری (DoJ)، گفته است که Cyclops Blink از فوریهی سال جاری فعال بوده است. درحالی که مجریان قانون موفق شده بودند تا برخی از دستگاههایی که در معرض خطر قرار گرفته بودند را ایمن کنند، اغلب آنها همچنان آلوده بودهاند و توسط عوامل تهدیدکننده مورد استفاده قرار میگرفتند. وزارت دادگستری دراینباره افزود:
این عملیات شامل هیچگونه ارتباط FBI با دستگاههای ربات نیست.
stormworm عامل تهدیدکنندهی شناختهشدهای است که برای GRU، که واحد اطلاعات نظامی روسیه است فعالیت میکند. این کرم با نامهای Voodoo Bear و Electrum نیز شناخته میشود و مسئول حملات DDoS در گرجستان در سال 2008 و قطعی برق در اوکراین در سال 2015 بوده است.
جان هالتکویست، معاون تحلیل اطلاعات در Mandiant در پاسخ به عملیاتی که FBI انجام داده است گفت:
Sandworm برتری قابلیت حملههای سایبری روسیه و یکی از عاملانی است که ما در پرتوی تهاجم، بیشتر از قبل نگران آن بودهایم. ما نگران هستیم که روسیه از آنها جهت هدف قرار دادن موضوعاتی در اوکراین استفاده شوند یا اینکه ممکن است بهعنوان هدفی برای آسیب زدن به غرب بهعلت فشارهایی که از این سمت به روسی وارد شده است، از آن استفاده شود.
به گفتهی شورای امور خارجی سازمان عضویت غیرحزبی، این sandworm بیشتر سیستمهای کنترل صنعتی را با استفاده از ابزاری بهنام انرژی سیاه، هدف خود قرار میدهد. علاوهبر جاسوسی سایبری، این گروه اغلب درگیر حملات DoS است و ظاهراََ پشت کمپین NotPetya 2017 نیز است.
در همان سال، احزاب سیاسی و سازمانهای دولتی محلی که در فرانسه وجود داشتهاند، از جمله سازمانهایی که مرتبط با رئیسجمهور بودهاند، مورد حمله قرار گرفتهاند. در سال 2020، آژانس امنیت ملی ایالات متحده (NSA)، این گروه را برای هدف قرار دادن خدمات ایمیل در سراسر جهان، متهم کرد.
NSA در آن زمان در مورد این گروه گفت:
عاملان تهدیدکننده با استفاده از نرمافزار Exim در MTAهای عمومی خود با ارسال کردن فرمانی در قسمت «MAIL FROM» پیامی SMTP (پروتکل انتقال ایمیل ساده)، از قربانیان خود سوءاستفاده کردهاند.
در آوریل گذشته، FBI نخستین عملیات خود را برای کپی و حذف کردن درب پشت جاسوسان چینی که هزاران سرور آسیبپذیر Exchange را بهصورت انبوه هک کرده بودند، به منظور سرقت لیست مخاطبین و صندوقهای ایمل کاربران، آغاز کرد.