DoNews 2月25日消息（劉文軒）英國國家網絡安全中心（National Cyber Security Centre，NCSC）以及美國聯邦調查局（FBI）等組織近日指出，俄羅斯黑客集團 Sandworm 自 2019 年 6 月就開始利用僵尸網絡惡意程序 Cyclops Blink 來感染連網設備，并且主要鎖定由 WatchGuard 所開發的防火墻設備，相關單位并未公布 Cyclops Blink 僵尸網絡的規模，而 WatchGuard 則表示只有不到 1% 的設備被感染，但已釋出檢測工具和整治計劃。

Sandworm 在 2015 年和 2016 年間曾針對烏克蘭的電廠展開攻擊，也曾在全球大規模散布 NotPetya 勒索軟件。Sandworm 先前使用的僵尸網絡惡意程序為 VPNFilter，在 2018 年 5 月遭到思科（Cisco）威脅情報組織 Talos 揪出，VPNFilter 當時已經感染了全球 50 萬臺網絡設備，被黑的設備主要位于烏克蘭，同月 FBI 即藉由接管 VPNFilter 的網域，摧毀了這個僵尸網絡。

上述組織相信 Cyclops Blink 是 Sandworm 用來取代 VPNFilter 的作品，而且從 2019 年便開始部署，意味著 Cyclops Blink 已潛伏超過兩年，而且主要部署在 WatchGuard 防火墻設備上。

黑客針對 WatchGuard 設備的 Firebox 軟件更新程序進行了反向工程，并找到該程序中的弱點，可重新計算用以驗證軟件更新映像檔的 HMAC 值，讓 Cyclops Blink 得以常駐于 WatchGuard 設備上，不論重新啟動還是更新軟件都無法移除它。

Cyclops Blink 還具備讀寫設備檔案系統的能力，可置換合法的檔案，因此就算上述弱點已被修補，黑客依舊能夠部署新功能來維持 Cyclops Blink 的存在，屬于很高階的惡意程序。

WatchGuard 在同一天給出了檢測工具及整治計劃，表示只有不到 1% 的 WatchGuard 防火墻設備受到感染，若未配置允許來自網絡的無限制存取，便不會有危險，且并無證據顯示 WatchGuard 或客戶資料外泄。

WatchGuard 提供了 3 種檢測工具，包括可從網絡存取的 Cyclops Blink Web Detector，還有必須下載并執行安裝的 WatchGuard System Manager Cyclops Blink Detector，兩者的主要差異是前者必須與 WatchGuard 分享診斷紀錄，后者則不需要，此外還有一款是專供擁有 WatchGuard Cloud 帳號使用的 WatchGuard Cloud Cyclops Blink Detector。

如果設備遭到感染，那么就必須依照 WatchGuard 的指示重置設備到干凈狀態，再升級到最新的 Fireware OS 版本。不僅如此，用戶也必須更新管理帳號的密碼短語，以及更換所有該設備先前所使用的憑證或短語，最后要確認該防火墻的管理政策并不允許來自網絡的無限制存取。

WatchGuard 還建議所有用戶，不管有無受到感染都應升級到最新的 Fireware OS，因為它修補了最新的漏洞，也提供了自動化的系統完整性檢查能力，得以強化對軟件的保護。

關鍵詞： watchguard 僵尸網絡 惡意程序 sandworm