英国国家网络安全中心(NCSC)和美国联邦调查局近日指出,俄罗斯黑客组织Sandworm自6月以来一直活跃2019年开始使用僵尸网络恶意程序CyclopsBlink感染连接设备,主要针对WatchGuard开发的防火墙设备。感染,但检测试剂盒和补救计划已经发布。Sandworm曾在2015年和2016年以乌克兰发电厂为目标,还在全球范围内大规模分发NotPetya勒索软件。Sandworm之前使用的僵尸网络恶意程序是VPNFilter,它是思科威胁情报组织Talos于2018年5月发现的,当时VPNFilter已经感染了全球50万台网络设备,被黑设备主要位于乌克兰。FBI通过接管VPNFilter的域来关闭僵尸网络。上述机构认为,CyclopsBlink是Sandworm替代VPNFilter的作品,从2019年开始部署,也就是说CyclopsBlink已经潜伏了两年多,主要部署在WatchGuard防火墙设备上。黑客对WatchGuard设备的Firebox软件更新程序进行了逆向工程,发现该程序存在一个弱点,即重新计算用于验证软件更新映像文件的HMAC值,从而使CyclopsBlink无论重启如何都驻留在WatchGuard设备上,既不启动也不更新软件将其删除。CyclopsBlink还具有读写设备文件系统的能力,可以替代合法文件。因此,即使上述弱点已经被修补,黑客仍然可以部署新的功能来维持CyclopsBlink这个非常高级的恶意程序的存在。同一天,WatchGuard给出了检测工具和修复方案,称只有不到1%的WatchGuard防火墙设备被感染。如果未配置为允许从网络无限制访问,则不会有危险,并且没有证据表明WatchGuard或客户数据泄露。WatchGuard提供了3种检测工具,包括可从网络访问的CyclopsBlinkWebDetector和需要下载安装的WatchGuardSystemManagerCyclopsBlinkDetector。两者的主要区别在于,前者必须与WatchGuard共享诊断记录,而后者则有WatchGuardCloud账户用户专属的WatchGuardCloudCyclopsBlinkDetector。如果设备被感染,则需要按照WatchGuard的说明将设备重置为干净状态,然后升级到最新的FirewareOS版本。不仅如此,用户还必须更新管理帐户的密码,并替换设备之前使用的任何凭据或短语,最后确认防火墙的管理策略不允许从网络进行不受限制的访问。WatchGuard还建议所有用户,无论是否受感染,都升级到最新的Fireware操作系统,因为它修补了最新的漏洞并提供自动系统完整性检查以加强软件保护。
