英发现新的僵尸网络恶意程序 美 Blink Cyclops
英国国度网络安保核心(National Cyber Security Centre,NCSC)以及美国联邦考查局(FBI)等组织近日指出,俄罗斯黑客个人Sandworm 自 2019 年 6 月就开局应用僵尸网络恶意程序 Cyclops Blink 来感化连网设施,并且关键锁定由 WatchGuard所开发的防火墙设施,关系单位并未发布 Cyclops Blink 僵尸网络的规模,而 WatchGuard 则示意只要不到 1%的设施被感化,但已释出检测工具和整治方案。
Sandworm 在 2 年和 2016 年间曾针对乌克兰的电厂开展攻打,也曾在世界大规模散布 NotPetya 敲诈软件。Sandworm先前经常使用的僵尸网络恶意程序为 VPNFilter,在 2018 年 5 月遭到思科(Cisco)要挟情报组织 Talos 揪出,VPNFilter过后曾经感化了世界 50 万台网络设施,被黑的设施关键位于乌克兰,同月 FBI 即藉由接收 VPNFilter 的网域,捣毁了这个僵尸网络。
上述组织置信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品,而且从 2019 年便开局部署,象征着Cyclops Blink 已潜伏超越两年,而且关键部署在 WatchGuard 防火墙设施上。
黑客针对 WatchGuard 设施的 Firebox 软件更新程序启动了反向工程,并找到该程序中的弱点,可从新计算用以验证软件更新映像档的 HMAC值,让 Cyclops Blink 得以常驻于 WatchGuard 设施上,不论从新启动还是更新软件都不可移除它。
Cyclops Blink 还具有读写设施档案系统的才干,可置换非法的档案,因此就算上述弱点已被修补,黑客照旧能够部署新性能来维持 CyclopsBlink 的存在,属于很高阶的恶意程序。
WatchGuard 在同一天给出了检测工具及整治方案,示意只要不到 1% 的 WatchGuard防火墙设施遭到感化,若未性能准许来自网络的有限度存取,便不会有风险,且并无证据显示 WatchGuard 或客户资料外泄。
WatchGuard 提供了 3 种检测工具,包括可从网络存取的 Cyclops Blink Web Detector,还有必定下载并口头装置的WatchGuard System Manager Cyclops Blink Detector,两者的关键差异是前者必定与 WatchGuard分享诊断纪录,后者则不须要,此外还有一款是专供领有 WatchGuard Cloud 帐号经常使用的 WatchGuard Cloud Cyclops BlinkDetector。
假设设施遭到感化,那么就必定依照 WatchGuard 的批示重置设施到洁净形态,再更新到最新的 Fireware OS版本。不只如此,用户也必定更新治理帐号的明码短语,以及改换一切该设施先前所经常使用的凭证或短语,最后要确认该防火墙的治理政策并不准许来自网络的有限度存取。
WatchGuard 还倡导一切用户,不论有无遭到感化都应更新到最新的 FirewareOS,由于它修补了最新的破绽,也提供了智能化的系统完整性审核才干,得以强化对软件的包全。