De FBI heeft tijdens een operatie in maart malware van besmette firewalls in de VS verwijderd en instellingen aangepast zonder dat de eigenaren van de apparaten hiervoor toestemming hadden gegeven. Wel is geprobeerd om die over de operatie te informeren, aldus het Amerikaanse ministerie van Justitie. Het ging om firewalls van fabrikant WatchGuard die met de Cyclops Blink-malware waren geïnfecteerd. Volgens de Amerikaanse autoriteiten is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn.

De besmette firewalls werden gebruikt als command & control (C2) voor een onderliggend botnet, aldus de FBI. Begin dit jaar lukte het de Amerikaanse opsporingsdienst om zich tegenover besmette firewalls als de Sandworm-groep voor te doen en commando's te versturen. Eind februari kwamen Amerikaanse en Britse autoriteiten met een waarschuwing voor de Cyclops Blink-malware en rolde WatchGuard beveiligingsupdates uit.

Ondanks de media-aandacht voor de malware nam slechts een minderheid (39 procent) van de eigenaren actie om hun systeem te updaten, zo claimt de FBI. Volgens de opsporingsdienst hebben veel slachtoffers niet de technische kennis om hun systeem te beveiligen of houden nieuws over cybersecurity niet bij. Dat wordt dan ook als verklaring gezien waarom veel besmette firewalls nog steeds ongepatcht zijn.

De FBI vroeg de rechter om toestemming om de besmette firewalls zelf op te schonen en de firewall rules zo aan te passen dat het beheerderspaneel niet meer toegankelijk was voor de Sandworm-groep. Daarbij stelt de opsporingsdienst dat het de gebruikte methode uitvoerig had getest en dit geen nadelige gevolgen voor slachtoffers zou hebben. Om te voorkomen dat de operatie zou worden verstoord wilde de FBI dat het gerechtelijk bevel voorlopig geheim zou blijven. Iets waar de rechter in meeging. Verder stelt de opsporingsdienst dat is geprobeerd om slachtoffers direct of via hun internetprovider over het bevel te informeren.