俄罗斯黑客利用新僵尸网络恶意程序感染网络设备 - 栋科技

俄罗斯高级黑客被发现使用一种前所未有的新僵尸网络恶意程序感染 WatchGuard 制造的网络设备并从中窃取机密。

据悉，被命名为 Cyclops Blink 的恶意程序能够感染 WatchGuard 开发的网络防火墙，进而感染家庭和小型办公设备。

目前，约有百分之一的由网络设备制造商 WatchGuard 开发的网络防火墙设备已被高级恶意软件 Cyclops Blink 感染。

该恶意软件能滥用在受感染设备中发现的合法固件升级机制，以使其更具持久性，即便重启设备恶意软件依旧存在。

据悉，Cyclops Blink恶意软件存在时间大约有三年，黑客开发其的目的是用来取代2018年研发的VPNFilter恶意程序。

VPNFilter 是个黑客攻击利器，被认为源自俄罗斯黑客组织魔幻熊(aka Fancy Bear)，也被称为APT 28或Sandworm。

早在2018年的时候，网络安全研究人员就追踪到这款恶意程序，感染了大约五十万台家庭以及小型办公室的路由器。

黑客利用 VPNFilter 可以窃取或操纵流量并监控工业控制系统实用某些SCADA协议，美国司法部认为其与GRU有关。

当年被 VPNFilter 感染的路由器品牌包括 Linksys、MikroTik、Netgear 和 TP-Link、华硕、华为、中兴和 D-Link 等。

思科的安全人员曾在 VPNFilter 中发现一个中间人攻击模块 ssler，黑客利用该模块可以向路由器流量注入恶意载荷。

不仅如此，模块 ssler 还具有窃取密码等功能，检测到加密数据传输时会尝试将 HTTPS 连接降级为明文 HTTP 连接。

此外，ssler  模块还针对谷歌、脸书、推特和 Youtube 的流量进行调整，从而规避这些网站提供的额外的安全功能。

不仅如此，ssler  模块还屏蔽了gzip 提供的数据压缩功能，从而使明文流量更容易修改，以便窃取密码和篡改内容。

当 VPNFilter 遭到曝光后，魔幻熊黑客组织构建了新的恶意软件来感染网络设备，也就是本文的主角Cyclops Blink。

Cyclops Blink 与其前身一样，具有专业开发的固件的所有特征，且该恶意软件具备使其更隐蔽且更难移除的新技巧。

Cyclops Blink会修改 WatchGuard 固件，篡改用于验证固件镜像合法的 HMAC 值，让包含恶意功能的固件合法运行。

修改后的 WatchGuard 固件中包含一个被用于 C2 通信的硬编码的 RSA 公钥及一个硬编码 RSA 私钥和 X.509 证书。

据分析，该恶意软件设计采用非常复杂的模块化设计方案，能将设备信息传输到服务器后，将文件下载下载并执行。

模块化设计可以允许控制者根据需要添加恶意功能，攻击者将攻陷的设备组成集群后部署命令和控制 IP地址和端口。

Cyclops Blink 客户端和服务器之间的通信受到传输层安全 (TLS) (T1071.001) 的保护，使用单独生成的密钥和证书。

魔幻熊黑客组织利用 Tor 网络连接到 C2 层来管理 Cyclops Blink恶意软件，从而便于隐藏恶意软件所使用的 IP 地址。

当恶意软件接收到信标之后，就会从当前的 C2 服务器的 IPv4 地址列表和 C2 端口硬编码列表中随机选择一个目标。

这个信标由包含来自正在运行的模块的数据的排队信息组成，每条消息都使用 AES-256-CBC 分别单独的进行加密。

OpenSSL_EVP_SealInit 函数是用于为每条消息随机生成加密密钥和 IV，然后使用硬编码的 RSA 公钥对其进行加密。

而OpenSSL_RSA_public_decrypt 函数则是被用于使用硬编码的 RSA 公钥对响应信标接收到的任务来执行解密工作。

目前，所有已知的 C2 IP 地址都已被受感染的 WatchGuard 防火墙设备使用，WatchGuard 方面也已对此积极响应。

目前，WatchGuard 聘请了全球知名的安全公司 Mandiant 来调查感染情况，同时已与执法部门合作对此事展开调查。

WatchGuard 根据调查结果称其设备或客户并未泄露数据，如果防火墙设备从未泄露过数据，那么久不会面临风险。

只有在将防火墙设备管理策略配置为允许从 Internet 进行不受限制的管理访问的时候，该漏洞才有可能被黑客利用。

而在2021年05月的时候，WatchGuard 在软件更新中推出的安全修复程序足以完全该漏洞，前提是用户及时更新过。

经过全面调查后，WatchGuard 得出结论并表示，攻击者利用的并非新漏洞，而是此前早已被追踪并被修复的漏洞。

据悉，该漏洞已经在如下版本的Fireware（运行 WatchGuard 防火墙设备的操作系统）中得到修复，具体版本如下：

v12.7 Update 1、v12.7.2 Update 1 或更高版本、v12.5.7 Update 3 或更高版本以及 v12.1.3 Update 5 或更高版本。

Cyclops Blink 与 VPNFilter 部署一样显得不分青红皂白且普遍存在，且攻击者可能为其他架构和固件编译恶意软件。

因此，建议使用 WatchGuard 设备的用户抓紧进行固件升级避免遭遇攻击，毕竟Cyclops Blink 有可能感染大量设备。