美、英發現新的僵屍網路惡意程式 Cyclops Blink

語言: CN / TW / HK

DoNews 2月25日訊息(劉文軒)英國國家網路安全中心(National Cyber Security Centre,NCSC)以及美國聯邦調查局(FBI)等組織近日指出,俄羅斯黑客集團 Sandworm 自 2019 年 6 月就開始利用僵屍網路惡意程式 Cyclops Blink 來感染連網裝置,並且主要鎖定由 WatchGuard 所開發的防火牆裝置,相關單位並未公佈 Cyclops Blink 僵屍網路的規模,而 WatchGuard 則表示只有不到 1% 的裝置被感染,但已釋出檢測工具和整治計劃。

Sandworm 在 2015 年和 2016 年間曾針對烏克蘭的電廠展開攻擊,也曾在全球大規模散佈 NotPetya 勒索軟體。Sandworm 先前使用的僵屍網路惡意程式為 VPNFilter,在 2018 年 5 月遭到思科(Cisco)威脅情報組織 Talos 揪出,VPNFilter 當時已經感染了全球 50 萬臺網絡裝置,被黑的裝置主要位於烏克蘭,同月 FBI 即藉由接管 VPNFilter 的網域,摧毀了這個僵屍網路。

上述組織相信 Cyclops Blink 是 Sandworm 用來取代 VPNFilter 的作品,而且從 2019 年便開始部署,意味著 Cyclops Blink 已潛伏超過兩年,而且主要部署在 WatchGuard 防火牆裝置上。

黑客針對 WatchGuard 裝置的 Firebox 軟體更新程式進行了反向工程,並找到該程式中的弱點,可重新計算用以驗證軟體更新映像檔的 HMAC 值,讓 Cyclops Blink 得以常駐於 WatchGuard 裝置上,不論重新啟動還是更新軟體都無法移除它。

Cyclops Blink 還具備讀寫裝置檔案系統的能力,可置換合法的檔案,因此就算上述弱點已被修補,黑客依舊能夠部署新功能來維持 Cyclops Blink 的存在,屬於很高階的惡意程式。

WatchGuard 在同一天給出了 檢測工具及整治計劃 ,表示只有不到 1% 的 WatchGuard 防火牆裝置受到感染,若未配置允許來自網路的無限制存取,便不會有危險,且並無證據顯示 WatchGuard 或客戶資料外洩。

WatchGuard 提供了 3 種檢測工具,包括可從網路存取的 Cyclops Blink Web Detector,還有必須下載並執行安裝的 WatchGuard System Manager Cyclops Blink Detector,兩者的主要差異是前者必須與 WatchGuard 分享診斷紀錄,後者則不需要,此外還有一款是專供擁有 WatchGuard Cloud 帳號使用的 WatchGuard Cloud Cyclops Blink Detector。

如果裝置遭到感染,那麼就必須依照 WatchGuard 的指示重置裝置到乾淨狀態,再升級到最新的 Fireware OS 版本。不僅如此,使用者也必須更新管理帳號的密碼短語,以及更換所有該裝置先前所使用的憑證或短語,最後要確認該防火牆的管理政策並不允許來自網路的無限制存取。

WatchGuard 還建議所有使用者,不管有無受到感染都應升級到最新的 Fireware OS,因為它修補了最新的漏洞,也提供了自動化的系統完整性檢查能力,得以強化對軟體的保護。