美国和英国揭露针对网络设备的俄罗斯新恶意软件

美国和英国揭露针对网络设备的俄罗斯新恶意软件

事件发展

1.NCSC，联邦调查局，CISA和美国国家安全局发布关于新Cyclops Blink恶意软件的报告。

2.美国和英国机构表示，该恶意软件是由GRU俄罗斯军事情报局的网络部门Sandworm开发的。

3.官员们表示，自2019年6月以来，该恶意软件一直以WatchGuard Firebox防火墙为目标。

Cyclops Blink恶意软件

美国和英国政府今天发布了一份联合报告，详细介绍了俄罗斯军事网络部门开发的一种新的恶意软件，该软件自2019年以来一直部署在野外，用于危害家庭网络安全和办公室网络设备。

英国国家网络安全中心(NCSC)、美国联邦调查局(FBI)、美国网络安全基础设施和安全局(CISA)和美国国家安全局(NSA)等机构为联合报告做出了贡献，完成通过对新恶意软件的技术分析，他们将其命名为Cyclops Blink。

官员们表示，他们首次看到该恶意软件是在2019年6月部署在野外的，并且主要是针对目标进行检测的守望火箱防火墙，但它们也不排除感染其他类型网络设备的能力。

英国和美国官员表示，该恶意软件是由一个名为沙虫之前与俄国军事情报部门GRU的一个网络单位有联系。

官员们将Cyclops Blink描述为“专业开发的”，并表示该恶意软件使用模块化结构，允许其运营商将第二阶段有效载荷部署到受感染的设备上。

有关恶意软件如何在受感染的系统上部署以及其第二阶段模块的功能的详细信息没有包括在报告中，但在其自己的安全咨询在这件事上，WatchGuard表示，他们认为攻击者利用旧Firebox固件中的一个漏洞作为切入点，该公司在2021年5月修补了这个漏洞。

VPNFilter被取代？

美国和英国官员都表示，他们认为沙虫集团开发了独眼巨人Blink来取代之前使用旧的VPNFilter恶意软件创建的僵尸网络FBI陷进去了2018年5月下旬。

当时，美国官员和安全公司表示，俄罗斯国家支持的黑客正准备利用VPNFilter僵尸网络发起DDoS攻击，希望扰乱原定于当年在乌克兰基辅举行的2018年欧洲冠军联赛决赛的IT基础设施。

《独眼巨人眨眼报告》(Cyclops Blink report)联合报告的发布时间并非偶然，因为俄罗斯几天后将出兵乌克兰，许多安全专家认为，此次行动将伴随旨在扰乱乌克兰IT基础设施的网络攻击。

根据内特·沃菲尔德网络安全公司Prevailion的首席技术官超过25，000个WatchGuard Firebox防火墙当前已连接到互联网。WatchGuard估计受感染系统的数量在1%左右，这将使僵尸网络的规模达到250台左右。

然而，这25，000个系统中只有大约12个位于乌克兰，这意味着它们不能被沙虫运营商用来接入许多乌克兰公司的内部网络，但这并不意味着其他Cyclops Blink设备不能用于其他类型的操作，如DDoS攻击。

巧合的是，这份联合报告发表时，乌克兰政府的几个网站正受到DDoS攻击，但没有证据表明Cyclops Blink在这些攻击中发挥了任何作用，或者它甚至可以执行这些类型的操作。

虽然尚不清楚独眼巨人Blink是否会在这些可能的攻击中发挥任何作用，但美国和英国官员认为，这是曝光独眼巨人Blink僵尸网络的最佳时机，以此限制其对俄罗斯军事情报的用处。

因为恶意软件还会深入设备的固件，简单的设备重启或工厂重置不会将其从受感染的防火墙中移除。为此，WatchGuard发布的工具来检测其设备上的恶意软件，以及如何清理受损系统的步骤。