英國國家網絡安全中心(National Cyber Security
Centre,NCSC)以及美國聯邦調查局(FBI)等組織近日指出,俄羅斯黑客集團 Sandworm 自 2019 年 6
月就開始利用殭屍網絡惡意程序 Cyclops Blink 來感染連網設備,並且主要鎖定由 WatchGuard
所開發的防火牆設備,相關單位並未公布 Cyclops Blink 殭屍網絡的規模,而 WatchGuard 則表示只有不到 1% 的設備被感染,但已釋出檢測工具和整治計劃。
Sandworm 在 2015 年和 2016 年間曾針對烏克蘭的電廠展開攻擊,也曾在全球大規模散布 NotPetya 勒索軟件。Sandworm 先前使用的殭屍網絡惡意程序為 VPNFilter,在 2018 年 5 月遭到思科(Cisco)威脅情報組織 Talos 揪出,VPNFilter 當時已經感染了全球 50 萬台網絡設備,被黑的設備主要位於烏克蘭,同月 FBI 即藉由接管 VPNFilter 的網域,摧毀了這個殭屍網絡。
上述組織相信 Cyclops Blink 是 Sandworm 用來取代 VPNFilter 的作品,而且從 2019 年便開始部署,意味着 Cyclops Blink 已潛伏超過兩年,而且主要部署在 WatchGuard 防火牆設備上。
黑客針對 WatchGuard 設備的 Firebox 軟件更新程序進行了反向工程,並找到該程序中的弱點,可重新計算用以驗證軟件更新映像檔的 HMAC 值,讓 Cyclops Blink 得以常駐於 WatchGuard 設備上,不論重新啟動還是更新軟件都無法移除它。
Cyclops Blink 還具備讀寫設備檔案系統的能力,可置換合法的檔案,因此就算上述弱點已被修補,黑客依舊能夠部署新功能來維持 Cyclops Blink 的存在,屬於很高階的惡意程序。
WatchGuard 在同一天給出了檢測工具及整治計劃,表示只有不到 1% 的 WatchGuard 防火牆設備受到感染,若未配置允許來自網絡的無限制存取,便不會有危險,且並無證據顯示 WatchGuard 或客戶資料外泄。
WatchGuard 提供了 3 種檢測工具,包括可從網絡存取的 Cyclops Blink Web Detector,還有必須下載並執行安裝的 WatchGuard System Manager Cyclops Blink Detector,兩者的主要差異是前者必須與 WatchGuard 分享診斷紀錄,後者則不需要,此外還有一款是專供擁有 WatchGuard Cloud 帳號使用的 WatchGuard Cloud Cyclops Blink Detector。
如果設備遭到感染,那麼就必須依照 WatchGuard 的指示重置設備到乾淨狀態,再升級到最新的 Fireware OS 版本。不僅如此,用戶也必須更新管理帳號的密碼短語,以及更換所有該設備先前所使用的憑證或短語,最後要確認該防火牆的管理政策並不允許來自網絡的無限制存取。
WatchGuard 還建議所有用戶,不管有無受到感染都應升級到最新的 Fireware OS,因為它修補了最新的漏洞,也提供了自動化的系統完整性檢查能力,得以強化對軟件的保護。