美国司法部宣布,联邦调查局(FBI)已破坏年初感染WatchGuard、华硕的Cyclops Blink僵尸网络程序的基础架构。
Cyclops Blink是在今年2月首先为安全研究人员发现。它先是感染WatchGuard全球约1%的防火墙及中小型企业路由器,而后于3月攻击华硕路由器。研究人员相信它是隶属于俄国情报局(GRU)的黑客组织Sandworm所开发,后者是全世界最顶尖也最凶狠的黑客组织,据信涉及NotPetya勒索软件并攻击2018年平昌冬奥网站,也曾策划攻击乌克兰电厂。
研究人员研判Cyclops Blink是取代Sandworm之前开发的僵尸网络程序VPNFilter。VPNFilter也是为害甚烈的恶意程序,Linksys、Netgear、QNAP、TP-Link网络设备都曾成为其受害者。美国FBI和思科于2018年合作摧毁了VPNFilter的网络基础架构,当时共有50万台设备遭到感染。Cyclops Blink等于是重新借用了VPNFiter之前创建的基础架构,不过Cyclops Blink僵尸网络设备数量少了将近40%。
虽然WatchGuard和华硕相继发布修补程序,但到3月中全球大部分被感染的设备都还是没修补,于是美英警方采取主动出击。
美、英警方协同WatchGuard于3月发动破获Cyclops Blink网络的行动。警方人员远程访问遭感染的WatchGuard设备,记录C&C设备序号,复制恶意程序,最后从这些机器清除Cyclops Blink,同时关闭其管理传输端口以防止Sandworm日后访问并黑入。这次行动只关闭了Cyclops Blink的通信基础架构,未能摧毁Sandworm以其他僵尸网络程序创建的网络基础架构。
为免争议,FBI强调,访问这些设备过程中并未搜集设备的其他资讯,FBI也没有和这些受害设备创建连接。