安全|美、英发现新的僵尸网络恶意程序 Cyclops Blink
英国国家网络安全中心(National Cyber Security Centre , NCSC)以及美国联邦调查局(FBI)等组织近日指出 , 俄罗斯黑客集团 Sandworm 自 2019 年 6 月就开始利用僵尸网络恶意程序 Cyclops Blink 来感染连网设备 , 并且主要锁定由 WatchGuard 所开发的防火墙设备 , 相关单位并未公布 Cyclops Blink 僵尸网络的规模 , 而 WatchGuard 则表示只有不到 1% 的设备被感染 , 但已释出检测工具和整治计划 。
Sandworm 在 2015 年和 2016 年间曾针对乌克兰的电厂展开攻击 , 也曾在全球大规模散布 NotPetya 勒索软件 。Sandworm 先前使用的僵尸网络恶意程序为 VPNFilter , 在 2018 年 5 月遭到思科(Cisco)威胁情报组织 Talos 揪出 , VPNFilter 当时已经感染了全球 50 万台网络设备 , 被黑的设备主要位于乌克兰 , 同月 FBI 即藉由接管 VPNFilter 的网域 , 摧毁了这个僵尸网络 。
上述组织相信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品 , 而且从 2019 年便开始部署 , 意味着 Cyclops Blink 已潜伏超过两年 , 而且主要部署在 WatchGuard 防火墙设备上 。
黑客针对 WatchGuard 设备的 Firebox 软件更新程序进行了反向工程 , 并找到该程序中的弱点 , 可重新计算用以验证软件更新映像档的 HMAC 值 , 让 Cyclops Blink 得以常驻于 WatchGuard 设备上 , 不论重新启动还是更新软件都无法移除它 。
Cyclops Blink 还具备读写设备档案系统的能力 , 可置换合法的档案 , 因此就算上述弱点已被修补 , 黑客依旧能够部署新功能来维持 Cyclops Blink 的存在 , 属于很高阶的恶意程序 。
【安全|美、英发现新的僵尸网络恶意程序 Cyclops Blink】WatchGuard 在同一天给出了检测工具及整治计划 , 表示只有不到 1% 的 WatchGuard 防火墙设备受到感染 , 若未配置允许来自网络的无限制存取 , 便不会有危险 , 且并无证据显示 WatchGuard 或客户资料外泄 。
文章图片
WatchGuard 提供了 3 种检测工具 , 包括可从网络存取的 Cyclops Blink Web Detector , 还有必须下载并执行安装的 WatchGuard System Manager Cyclops Blink Detector , 两者的主要差异是前者必须与 WatchGuard 分享诊断纪录 , 后者则不需要 , 此外还有一款是专供拥有 WatchGuard Cloud 帐号使用的 WatchGuard Cloud Cyclops Blink Detector 。
如果设备遭到感染 , 那么就必须依照 WatchGuard 的指示重置设备到干净状态 , 再升级到最新的 Fireware OS 版本 。不仅如此 , 用户也必须更新管理帐号的密码短语 , 以及更换所有该设备先前所使用的凭证或短语 , 最后要确认该防火墙的管理政策并不允许来自网络的无限制存取 。
WatchGuard 还建议所有用户 , 不管有无受到感染都应升级到最新的 Fireware OS , 因为它修补了最新的漏洞 , 也提供了自动化的系统完整性检查能力 , 得以强化对软件的保护 。
推荐阅读
- 国家|科技部:创新不问出身,国企、民企一视同仁
- Huawei|华为3月发布会新品曝光:华为P50 E、墨水平板全都有
- 警告!|货轮海上起火让大众汽车损失惨重 超千辆保时捷、宾利主要运往北美
- 警告!|罗戈津:若制裁触及与俄合作 等待国际空间站的将是失控脱轨落入美国或欧洲境内
- 视点·观察|机构:2021年Q3全球蜂窝基带市场收益达81.5亿美元,创历史新高
- 可满足|华为 AR 眼镜专利获授权:可满足不同头围、瞳距人群使用
- 设计|科技部:在科技重大顶层设计、重大决策方面,企业应参与进来
- 设计|科技部:在科技重大顶层设计、重大决策方面 企业应参与进来
- 机构|华为AR眼镜专利获授权,可满足不同头围、瞳距人群佩戴时的呈像效果
- 运营|“智慧园区”展新颜