美、英发现新的僵尸网络恶意程序 Cyclops Blink
英国国家网络安全中心(National Cyber Security Centre,NCSC)以及美国联邦调查局(FBI)等组织近日指出,俄罗斯黑客集团 Sandworm 自 2019 年 6 月就开始利用僵尸网络恶意程序 Cyclops Blink 来感染连网设备,并且主要锁定由 WatchGuard 所开发的防火墙设备,相关单位并未公布 Cyclops Blink 僵尸网络的规模,而 WatchGuard 则表示只有不到 1% 的设备被感染,但已释出检测工具和整治计划。
Sandworm 在 2015 年和 2016 年间曾针对乌克兰的电厂展开攻击,也曾在全球大规模散布 NotPetya 勒索软件。Sandworm 先前使用的僵尸网络恶意程序为 VPNFilter,在 2018 年 5 月遭到思科(Cisco)威胁情报组织 Talos 揪出,VPNFilter 当时已经感染了全球 50 万台网络设备,被黑的设备主要位于乌克兰,同月 FBI 即藉由接管 VPNFilter 的网域,摧毁了这个僵尸网络。
上述组织相信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品,而且从 2019 年便开始部署,意味着 Cyclops Blink 已潜伏超过两年,而且主要部署在 WatchGuard 防火墙设备上。
黑客针对 WatchGuard 设备的 Firebox 软件更新程序进行了反向工程,并找到该程序中的弱点,可重新计算用以验证软件更新映像档的 HMAC 值,让 Cyclops Blink 得以常驻于 WatchGuard 设备上,不论重新启动还是更新软件都无法移除它。
Cyclops Blink 还具备读写设备档案系统的能力,可置换合法的档案,因此就算上述弱点已被修补,黑客依旧能够部署新功能来维持 Cyclops Blink 的存在,属于很高阶的恶意程序。
WatchGuard 在同一天给出了检测工具及整治计划,表示只有不到 1% 的 WatchGuard 防火墙设备受到感染,若未配置允许来自网络的无限制存取,便不会有危险,且并无证据显示 WatchGuard 或客户资料外泄。
WatchGuard 提供了 3 种检测工具,包括可从网络存取的 Cyclops Blink Web Detector,还有必须下载并执行安装的 WatchGuard System Manager Cyclops Blink Detector,两者的主要差异是前者必须与 WatchGuard 分享诊断纪录,后者则不需要,此外还有一款是专供拥有 WatchGuard Cloud 帐号使用的 WatchGuard Cloud Cyclops Blink Detector。
如果设备遭到感染,那么就必须依照 WatchGuard 的指示重置设备到干净状态,再升级到最新的 Fireware OS 版本。不仅如此,用户也必须更新管理帐号的密码短语,以及更换所有该设备先前所使用的凭证或短语,最后要确认该防火墙的管理政策并不允许来自网络的无限制存取。
WatchGuard 还建议所有用户,不管有无受到感染都应升级到最新的 Fireware OS,因为它修补了最新的漏洞,也提供了自动化的系统完整性检查能力,得以强化对软件的保护。
-
特朗普宣布!特斯拉CEO马斯克将领导美国政府效率部
据央视报道,当地时间11月12日,美国当选总统特朗普宣布,美国企业家埃隆·马斯克与维韦克·拉马斯瓦米将在他就任总统后共同领导拟成立的“政府效率部(DOGE)”。据悉,“政府效率部”将“为拆解政府官僚机
-
马斯克:每天向一位选民赠送100万美元
马斯克在美国宾夕法尼亚州的一场活动上宣布,从10月19日至11月5日美国大选日,他将每天随机向一位签署“美国政治行动委员会”请愿书的宾夕法尼亚州登记选民赠送100万美元。而在当天,首位获奖者已经揭晓。
-
美国IT业今年已裁员13.7万人!投100份简历仅两三次面试
据媒体报道,今年至今,美国已有约13.7万名IT从业者被裁,传统软件开发岗位的减少导致就业市场竞争愈发激烈。随着股权奖励的减少和薪资的普遍下调,行业内卷现象愈演愈烈,软件工程师的职业前景变得更加不确定
关注公众号:拾黑(shiheibook)了解更多
友情链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/