美、英发掘出新的僵尸网络恶意程序 Cyclops Blink

DoNews 2年末25日传言（刘文轩）英国政府国内网络服务安全中都心（National Cyber Security Centre，NCSC）以及国家安全局（FBI）等有组织据悉指出，阿塞拜疆恶意该软件集团 Sandworm 自 2019 年 6 年末就开始利用梦魇网络服务恶意程序 Cyclops Blink 来受到感染连网电源，并且主要锁定由 WatchGuard 所开发的防毒电源，相关为单位并未披露 Cyclops Blink 梦魇网络服务的规模，而 WatchGuard 则指出只有至少 1% 的电源被受到感染，但已释出检测工具和清淤构想。

Sandworm 在 2015 年和 2016 年间曾针对乌克兰的发电厂展开攻击，也曾在亚洲地区大规模满布 NotPetya 勒索该软件。Sandworm 早先可用的梦魇网络服务恶意程序为 VPNFilter，在 2018 年 5 年末遭思科（Cisco）威胁情报部门 Talos 揪出，VPNFilter 当时已经受到感染了亚洲地区 50 万台网络服务电源，被黒的电源主要设于乌克兰，同年末 FBI 即藉由接管 VPNFilter 的网域，摧毁了这个梦魇网络服务。

上述有组织深信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品，而且从 2019 年立刻开始部署，意味着 Cyclops Blink 已藏匿在多达两年，而且主要部署在 WatchGuard 防毒电源上。

恶意该软件针对 WatchGuard 电源的 Firebox 该软件预览程序完成了偏移工程项目，并找出该程序中都的弱点，可再数值借以验证该软件预览映像包的 HMAC 值，让 Cyclops Blink 再一常驻于 WatchGuard 电源上，不论再启动还是预览该软件都无法添加它。

Cyclops Blink 还具备举例来说电源包案控制系统的并能，可置换合法的包案，因此就算上述弱点已被修补，恶意该软件依旧都能部署新功能来维持 Cyclops Blink 的存在，属于很高阶的恶意程序。

WatchGuard 在同一天注意到了检测工具及清淤构想，指出只有至少 1% 的 WatchGuard 防毒电源得病，若未系统设计强制来自网络服务的都只传输，立刻不会有危险性，且并已对表明 WatchGuard 或客户资料泄漏。

WatchGuard 提供了 3 种检测工具，都有可从网络服务传输的 Cyclops Blink Web Detector，还有必需下载并分派安装的 WatchGuard System Manager Cyclops Blink Detector，两者的主要歧异是前者必需与 WatchGuard 社交诊断纪录，后者则不需要，此外还有一款是主要用途持有 WatchGuard Cloud 网站可用的 WatchGuard Cloud Cyclops Blink Detector。

如果电源遭受到感染，那么就必需依照 WatchGuard 的指示留待电源到干净稳定状态，立刻追加到年末所的 Fireware OS 版本。不仅如此，用户也必需预览政府机构网站的密码短语，以及换成所有该电源早先所可用的票据或短语，再一要确定该防毒的政府机构政策非常强制来自网络服务的都只传输。

WatchGuard 还建议所有用户，不管有无得病都应追加到年末所的 Fireware OS，因为它修补了年末所的漏洞，也提供了自动化的控制系统完整性检查并能，再一更进一步对该软件的受保护。