傑愛得資訊 jumpAD
0800-000-964

美、英發現來自俄羅斯的新殭屍網路惡意程式Cyclops Blink

取自:iThome
您好,我們是傑愛得資訊,歡迎來到我們的媒體聯播網
俄羅斯駭客自2019年起利用Cyclops Blink感染連網裝置,主要鎖定WatchGuard的防火牆設備,對此WatchGuard發布安全指引並建議所有用戶,不管有無受到Cyclops Blink感染,都應升級到最新的Fireware OS

文/陳曉莉 | 2022-02-25發表

美、英發現來自俄羅斯的新殭屍網路惡意程式Cyclops Blink


美英二國調查顯示,駭客針對WatchGuard設備的Firebox韌體更新程序進行了反向工程,並找到了該程序中的弱點,可重新計算用以驗證韌體更新映像檔之HMAC值,而讓Cyclops Blink得以常駐於WatchGuard設備上。這些受害的裝置組成叢集,且每個Cyclops Blink部署都擁有命令暨控制(C2)伺服器及所使用之傳輸埠的列表,它們還透過Tor網路與C2伺服器通訊。(圖片來源/英國國家網路安全中心)


英國國家網路安全中心(National Cyber Security Centre,NCSC),以及美國的國安局(NSA)、聯邦調查局(FBI)與美國網路安全及基礎設施安全局(CISA)周三(2/23)指出,俄羅斯駭客集團Sandworm自2019年6月就開始利用殭屍網路惡意程式Cyclops Blink來感染連網裝置,且主要鎖定由美國業者WatchGuard所開發的防火牆設備,相關單位並未公布Cyclops Blink殭屍網路的規模,而WatchGuard則說只有不到1%的設備被感染,但已釋出檢測工具及整治計畫。

下方繼續閱讀
曝光6,789/日 成本100/月
下文請點廣告解鎖
下文請點廣告解鎖
投放Google多媒體聯播網廣告(點此)arrow_downward,包含轉換代碼安裝

※ 如果看到投資類型廣告,請再三評估風險!

繼續閱讀keyboard_double_arrow_down
Sandworm據信隸屬於俄羅斯情報局(GRU),在2015年及2016年間曾針對烏克蘭的電廠展開攻擊,也曾在全球大規模散布NotPetya勒索軟體,並於2018年襲擊冬奧網站。

根據美國及英國的聯手調查,Sandworm先前使用的殭屍網路惡意程式為VPNFilter,在2018年5月遭到思科(Cisco)威脅情報組織Talos揪出的當下,VPNFilter感染了全球50萬臺網路裝置,受駭裝置主要位於烏克蘭,同月FBI即藉由接管VPNFilter的網域,摧毀了該殭屍網路。

上述單位則相信Cyclops Blink是Sandworm用來取代VPNFilter的作品,而且從2019年便開始部署,意味著Cyclops Blink已潛伏超過兩年,而且主要部署在WatchGuard防火牆設備上。

分析顯示,駭客顯然針對WatchGuard設備的Firebox韌體更新程序進行了反向工程,並找到了該程序中的弱點,可重新計算用以驗證韌體更新映像檔之HMAC值,而讓Cyclops Blink得以常駐於WatchGuard設備上,不管是重新啟動或是更新韌體都無法移除它。

這些受害的裝置組成叢集,且每個Cyclops Blink部署都擁有命令暨控制(C2)伺服器及所使用之傳輸埠的列表,它們還透過Tor網路與C2伺服器通訊。

此外,Cyclops Blink具備讀/寫設備檔案系統的能力,可置換合法的檔案,因此就算上述弱點已被修補,駭客依舊能夠部署新功能來維持Cyclops Blink的存在,屬於非常高階的惡意程式。

WatchGuard也在同一天提出了檢測工具及整治計畫,表示只有不到1%的WatchGuard防火牆設備受到感染,若未配置允許來自網路的無限制存取,便不會有危險,且並無證據顯示WatchGuard或客戶資料外洩。

美、英發現來自俄羅斯的新殭屍網路惡意程式Cyclops Blink


WatchGuard總計提供了3種檢測工具,一是可自網路存取的Cyclops Blink Web Detector,二是必須下載並執行安裝的WatchGuard System Manager Cyclops Blink Detector,兩者間主要的差異是前者必須與WatchGuard分享診斷紀錄,後者則否;第三款則是專供擁有WatchGuard Cloud帳號使用的WatchGuard Cloud Cyclops Blink Detector。

倘若設備遭到感染,那麼就必須依照WatchGuard的指示重置設備至乾淨狀態,再升級至最新的Fireware OS版本;不僅如此,使用者也必須更新管理帳號的密碼短語,以及更換所有該設備先前所使用的秘密、憑證或短語;最後則需確認該防火牆的管理政策並不允許來自網路的無限制存取。

WatchGuard亦建議所有用戶,不管有無受到感染都應升級到最新的Fireware OS,因為它修補了最新的漏洞,也提供了自動化的系統完整性檢查能力,得以強化對韌體的保護。

美、英發現來自俄羅斯的新殭屍網路惡意程式Cyclops Blink


WatchGuard在2月23日發布 Fireware v12.7.2 Update 2,修補CVE-2022-25290、CVE-2022-25291、CVE-2022-25292、CVE-2022-25293、CVE-2022-25360與CVE-2022-25363等多項漏洞。文⊙iThome資安主編羅正漢
點此投放Google多媒體聯播網廣告
※ 如果看到投資類型廣告,請再三評估風險!
post_add 資料來源:iThome

傑愛得資訊領先業界

國際認證獎項報導
我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊
─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

bookmark_star 查看資歷
傑愛得資訊 顧問諮詢報價
公司/姓名
頭銜/稱謂
e-mail
LINE id
公司資本額
大約預算
聯繫語言
網路行銷
Google Ads
最高成效廣告
智慧廣告
探索廣告
APP 宣傳廣告
交給顧問評估規畫
Yahoo Ads
交給顧問評估規畫
Microsoft Ads
關鍵字廣告(原Yahoo 關鍵字)
網路系統
雲服務專案
諮詢/備註
※本公司與全城通律法律顧問合作,以上服務皆遵守法律規範。
jumpAD 吉傳媒 PFP Next Erene Design 懿坊飾品 三分糖手作中品牌故事
🤫 悄悄說: