目录导航
事件背景:
事件详情
美国司法部周三宣布,今年 3 月,美国司法部开展了一项行动,成功从易受攻击的互联网连接防火墙设备中删除了名为“Cyclops Blink”的恶意软件。该行动破坏了俄罗斯联邦主要情报局 (GRU) 对由数千个受感染设备组成的全球僵尸网络的控制。
Cyclops Blink 恶意软件专门针对 WatchGuard 和华硕网络设备。一个名为 Sandworm(美国政府之前将其归咎于 GRU)的威胁行为者使用该恶意软件来指挥和控制底层僵尸网络。通过禁用命令和控制机制,司法部能够将 Sandworm 与机器人网络隔离开来。
但是,司法部警告说,如果设备所有者不采取 WatchGuard 和华硕建议的补救措施,充当机器人的 WatchGuard 和华硕设备可能仍然容易受到 Sandworm 的攻击。
多个 DOJ 机构,以及美国国家安全局和英国国家网络安全中心,于 2 月 23 日首次发布了一份公告,确定了 Cyclops Blink 恶意软件。该公告解释说,该恶意软件似乎早在 2019 年 6 月就出现了,作为 DOJ 于 2018 年打击的另一个 Sandworm 僵尸网络的明显继承者。
在发布公告的同一天,WatchGuard 为 WatchGuard 设备的用户发布了检测和修复工具。后来,华硕 发布了自己的指南,以帮助受到侵害的华硕设备所有者。然而,到 3 月中旬,大多数最初受到攻击的设备仍然受到感染。
DOJ 的后续行动从所有剩余的已识别命令和控制设备中删除了恶意软件。该操作使用与 Sandworm 恶意软件的直接通信。该部门表示,除了通过自动化脚本收集底层命令和控制设备的序列号并复制恶意软件外,司法部没有搜索或从相关受害者网络收集信息。此外,该操作不涉及任何 FBI 与机器人设备的通信。
司法部的行动表明“该部门致力于使用我们可以使用的所有法律工具来破坏民族国家的黑客行为,”助理司法部长马修 G. 奥尔森在一份声明中说。“通过与 WatchGuard 以及该国和英国的其他政府机构密切合作,分析恶意软件并开发检测和修复工具,我们共同展示了公私合作伙伴关系为我国网络安全带来的力量。”
美国司法部公告详情
司法部宣布法院授权破坏由俄罗斯联邦主要情报局 (GRU) 控制的僵尸网络
操作从僵尸网络的命令和控制设备中复制并删除了被称为“Cyclops Blink”的恶意软件,破坏了 GRU 对全球数千台受感染设备的控制。受害者必须采取额外措施来修复漏洞并防止恶意行为者进一步利用未修补的设备。
司法部今天宣布了一项法院授权的行动,该行动于 2022 年 3 月进行,以破坏由安全研究人员称为 Sandworm 的威胁行为者控制的由数千个受感染网络硬件设备组成的两层全球僵尸网络,美国政府已将其以前归因于俄罗斯联邦武装部队总参谋部(GRU)的主要情报局。该操作复制并删除了 Sandworm 用于底层僵尸网络命令和控制 (C2) 的易受攻击的联网防火墙设备中的恶意软件。尽管该操作不涉及访问全球数千个底层受害设备(称为“机器人”)上的 Sandworm 恶意软件,但禁用 C2 机制使这些机器人脱离了 Sandworm C2 设备的控制。
“法院授权清除俄罗斯 GRU 部署的恶意软件表明该部门致力于使用我们掌握的所有法律工具来破坏民族国家的黑客行为,”司法部国家安全部门的助理总检察长 Matthew G. Olsen 说。“通过与 WatchGuard 以及该国和英国的其他政府机构密切合作,分析恶意软件并开发检测和修复工具,我们共同展示了公私合作伙伴关系为我国网络安全带来的力量。该部门仍然致力于以任何形式对抗和破坏民族国家的黑客行为。”
“通过与 WatchGuard 和我们的执法合作伙伴的密切合作,我们发现、破坏和揭露了俄罗斯 GRU 在美国和世界各地对无辜受害者进行黑客攻击的又一个例子,”美国西区检察官 Cindy K. Chung 说宾夕法尼亚州。“此类活动不仅是犯罪行为,而且威胁到美国及其盟国的国家安全。我的办公室仍然致力于与我们在国家安全部门、联邦调查局、外国执法机构和私营部门的合作伙伴合作,捍卫和维护我们国家的网络安全。”
“这次行动是 FBI 通过我们独特的权限、能力以及与合作伙伴的协调来对抗网络威胁的承诺的一个例子,”FBI 网络部门的助理主任 Bryan Vorndran 说。“作为主要的国内执法和情报机构,我们将继续追捕威胁美国人民、我们的私营部门合作伙伴和我们的国际合作伙伴的国家安全和公共安全的网络行为者。”
“FBI 引以为豪的是与我们的执法部门和私营部门合作伙伴密切合作,揭露隐藏在计算机后面并发动攻击的犯罪分子,这些攻击威胁到美国人对我们数字互联世界的安全、保障和信心,”负责特别探员的 Mike Nordwall 说联邦调查局匹兹堡外地办事处。“联邦调查局坚定不移地致力于打击和破坏俄罗斯在美国和盟国网络中站稳脚跟的努力。”
2 月 23 日,英国国家网络安全中心、国土安全部网络安全和基础设施安全局、联邦调查局和国家安全局发布了 一份公告 ,确定了针对 WatchGuard Technologies Inc. 制造的网络设备的 Cyclops Blink 恶意软件。 (WatchGuard) 和华硕电脑公司 (ASUS)。这些网络设备通常位于受害者计算机网络的外围,从而为 Sandworm 提供了对这些网络中的所有计算机进行恶意活动的潜在能力。正如公告中所解释的那样,该恶意软件似乎早在 2019 年 6 月就出现了,并且显然是另一个名为 VPNFilter 的 Sandworm 僵尸网络的继任者,该网络被司法部 2018 年因法院授权的行动而中断。
发布公告的同一天,WatchGuard 发布了 检测和修复工具 对于 WatchGuard 设备的用户。该公告和 WatchGuard 的指南都建议设备所有者部署 WatchGuard 的工具以删除任何恶意软件感染并将其设备修补到可用固件的最新版本。后来华硕 发布了自己的指导 帮助受感染的华硕设备所有者减轻 Cyclops Blink 恶意软件带来的威胁。公共和私营部门的努力卓有成效,成功修复了数千台受损设备。然而,到 3 月中旬,大多数最初受到感染的设备仍然受到感染。
在 3 月 18 日获得法院初步授权后,该部门的行动成功地从所有剩余的已识别 C2 设备中复制和删除了恶意软件。它还关闭了 Sandworm 用来访问这些 C2 设备的外部管理端口,正如 WatchGuard 的补救指南中所建议的那样(受影响设备的所有者可以通过设备重启来撤销的非持久性更改)。这些步骤立即产生了阻止 Sandworm 访问这些 C2 设备的效果,从而破坏了 Sandworm 对受修复的 C2 设备控制的受感染机器人设备的控制。但是,如果设备所有者不采取 WatchGuard 和 ASUS 推荐的检测和修复步骤,充当机器人的 WatchGuard 和 ASUS 设备可能仍然容易受到 Sandworm 的攻击。
今天宣布的行动利用与已识别 C2 设备上的 Sandworm 恶意软件的直接通信,除了通过自动脚本收集底层 C2 设备的序列号并复制 C2 恶意软件外,它没有搜索或收集相关的其他信息受害者网络。此外,该操作不涉及任何 FBI 与机器人设备的通信。
自 2 月 23 日发布公告以来,FBI 一直试图向美国境内受感染 WatchGuard 设备的所有者发出通知,并通过外国执法合作伙伴向国外发出通知。对于那些联系信息未公开的国内受害者,FBI 已经联系了供应商(例如受害者的互联网服务提供商),并要求这些供应商向受害者提供通知。根据法院授权条款的要求,FBI 已向国内 C2 设备的所有者发出通知,FBI 从中复制并删除了 Cyclops Blink 恶意软件。
破坏 Cyclops Blink 僵尸网络的努力由 FBI 的匹兹堡、亚特兰大和俄克拉荷马城外地办事处、FBI 网络部门、国家安全部门的反情报和出口管制部门以及美国宾夕法尼亚州西区检察官办公室领导。刑事司的计算机犯罪和知识产权科、国际事务办公室以及美国加州东区检察官办公室也提供了协助。
如果您认为自己的设备遭到入侵,请联系您当地的 FBI 外地办事处寻求帮助。FBI 继续对这一网络事件进行彻底而有条理的调查。
转载请注明出处及链接