DoNews 2月25日消息（劉文軒）英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（National Cyber Security Centre，NCSC）以及美國(guó)聯(lián)邦調(diào)查局（FBI）等組織近日指出，俄羅斯黑客集團(tuán) Sandworm 自 2019 年 6 月就開(kāi)始利用僵尸網(wǎng)絡(luò)惡意程序 Cyclops Blink 來(lái)感染連網(wǎng)設(shè)備，并且主要鎖定由 WatchGuard 所開(kāi)發(fā)的防火墻設(shè)備，相關(guān)單位并未公布 Cyclops Blink 僵尸網(wǎng)絡(luò)的規(guī)模，而 WatchGuard 則表示只有不到 1% 的設(shè)備被感染，但已釋出檢測(cè)工具和整治計(jì)劃。

Sandworm 在 2015 年和 2016 年間曾針對(duì)烏克蘭的電廠展開(kāi)攻擊，也曾在全球大規(guī)模散布 NotPetya 勒索軟件。Sandworm 先前使用的僵尸網(wǎng)絡(luò)惡意程序?yàn)?VPNFilter，在 2018 年 5 月遭到思科（Cisco）威脅情報(bào)組織 Talos 揪出，VPNFilter 當(dāng)時(shí)已經(jīng)感染了全球 50 萬(wàn)臺(tái)網(wǎng)絡(luò)設(shè)備，被黑的設(shè)備主要位于烏克蘭，同月 FBI 即藉由接管 VPNFilter 的網(wǎng)域，摧毀了這個(gè)僵尸網(wǎng)絡(luò)。

上述組織相信 Cyclops Blink 是 Sandworm 用來(lái)取代 VPNFilter 的作品，而且從 2019 年便開(kāi)始部署，意味著 Cyclops Blink 已潛伏超過(guò)兩年，而且主要部署在 WatchGuard 防火墻設(shè)備上。

黑客針對(duì) WatchGuard 設(shè)備的 Firebox 軟件更新程序進(jìn)行了反向工程，并找到該程序中的弱點(diǎn)，可重新計(jì)算用以驗(yàn)證軟件更新映像檔的 HMAC 值，讓 Cyclops Blink 得以常駐于 WatchGuard 設(shè)備上，不論重新啟動(dòng)還是更新軟件都無(wú)法移除它。

Cyclops Blink 還具備讀寫(xiě)設(shè)備檔案系統(tǒng)的能力，可置換合法的檔案，因此就算上述弱點(diǎn)已被修補(bǔ)，黑客依舊能夠部署新功能來(lái)維持 Cyclops Blink 的存在，屬于很高階的惡意程序。

WatchGuard 在同一天給出了檢測(cè)工具及整治計(jì)劃，表示只有不到 1% 的 WatchGuard 防火墻設(shè)備受到感染，若未配置允許來(lái)自網(wǎng)絡(luò)的無(wú)限制存取，便不會(huì)有危險(xiǎn)，且并無(wú)證據(jù)顯示 WatchGuard 或客戶資料外泄。

WatchGuard 提供了 3 種檢測(cè)工具，包括可從網(wǎng)絡(luò)存取的 Cyclops Blink Web Detector，還有必須下載并執(zhí)行安裝的 WatchGuard System Manager Cyclops Blink Detector，兩者的主要差異是前者必須與 WatchGuard 分享診斷紀(jì)錄，后者則不需要，此外還有一款是專(zhuān)供擁有 WatchGuard Cloud 帳號(hào)使用的 WatchGuard Cloud Cyclops Blink Detector。

如果設(shè)備遭到感染，那么就必須依照 WatchGuard 的指示重置設(shè)備到干凈狀態(tài)，再升級(jí)到最新的 Fireware OS 版本。不僅如此，用戶也必須更新管理帳號(hào)的密碼短語(yǔ)，以及更換所有該設(shè)備先前所使用的憑證或短語(yǔ)，最后要確認(rèn)該防火墻的管理政策并不允許來(lái)自網(wǎng)絡(luò)的無(wú)限制存取。

WatchGuard 還建議所有用戶，不管有無(wú)受到感染都應(yīng)升級(jí)到最新的 Fireware OS，因?yàn)樗扪a(bǔ)了最新的漏洞，也提供了自動(dòng)化的系統(tǒng)完整性檢查能力，得以強(qiáng)化對(duì)軟件的保護(hù)。

關(guān)鍵詞： watchguard 僵尸網(wǎng)絡(luò) 惡意程序 sandworm