🔥 热搜 🔥
法明传[2024]173号1起源 解读 龚妈 分享 回123456南京李志写小说@六镇百度今日热点
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
法明传[2024]173号1起源 解读 龚妈 分享 回123456南京李志写小说@六镇百度今日热点
分类
社会娱乐国际人权科技经济其它
查看原文
其他

NCSC、CISA、NSA和FBI联合警告:疑是俄Sandworm黑客组织携超强恶意软件Cyclops Blink卷土重来

网空闲话 网空闲话 2022-07-02
收录于合集
#网络攻击 272 个
#NSA 8 个
#NCSC 2 个
#Cyclops Blink 1 个
#APT组织 2 个
当地时间23日,美国和英国网络安全和执法机构发出联合警报,一个与俄罗斯情报机构相关的长期黑客组织开发了一套新工具来替换 2018 年已被披露的恶意软件。这份由英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI) 发布的警报详细介绍了新的恶意软件Cyclops Blink,并将其归因于Sandworm是他们之前与俄罗斯GRU相关联的攻击性黑客行动。NCSC 的分析将Cyclops Blink描述为“经过专业开发”的“高度复杂的恶意软件”。这些机构警告称攻击者正在使用这种新的恶意软件来攻击防火墙设备。发布联合警报的当天,即23日下午,乌克兰大批政府网站再次遭到DDoS攻击。尽管NCSC称联合警报与乌克兰局势没有关联。


Sandworm的高级持续性威胁组织现在正在使用被称为 Cyclops Blink的“大规模模块化恶意软件框架”。西方政府将2015年乌克兰电网中断、2017年NotPetya 袭击和2018年冬奥会破坏等重大事件归咎于Sandworm组织。


英国国家网络安全中心 ( NCSC ) 还单独发布了一份关于Cyclops Blink的分析论文。


这个恶意软件的目标明确,功能也很独特。

  • Cyclops Blink是一个恶意的Linux ELF可执行文件,为32位的PowerPC (bigendian)架构编译。

  • 在整个合法的设备固件更新过程中保持持久性。

  • 实现一个由核心组件和附加模块组成的模块化框架,这些模块作为子进程执行。

  • 模块下载/上传文件,提取设备信息,并更新恶意软件已内置,并在启动时执行。

  • 命令和控制(C2)通信使用自定义的TLS之下的二进制协议,消息被单独加密。


该公告发布之际,Sandworm的主要目标之一乌克兰在其境内面临俄罗斯入侵部队。以这种威胁为背景,美国和英国机构上周匆忙将针对银行和政府网站的DDoS 事件归咎于俄罗斯的GRU。23日下午乌克兰报告了更多DDoS攻击。Mandiant威胁情报副总裁兼Sandworm活动的资深追踪者John Hultquist在推特上表示,23日警报的时机“再好不过了”。


用于2015年乌克兰袭击和2018年奥运会事件的VPNFilter于2018被Cisco Talos的网络安全研究人员曝光,并被美国司法部打击。Sandworm通常与俄罗斯的主要情报局GRU有联系。

警报称,新工具通过自定义僵尸网络传播,以与VPNFilte 相似的方式运行。主要目标是WatchGuard的Firebox设备,WatchGuard是家庭办公室和小型网络防火墙硬件制造商。警报称,这家总部位于西雅图的公司一直在与美国和英国的机构密切合作,以阻止其产品上的恶意软件。

“到目前为止,攻击者主要将 Cyclops Blink 部署到WatchGuard设备,但 Sandworm 很可能能够为其他架构和固件编译恶意软件,”警报说。

Cyclops Blink至少自2019年6月以来一直处于活跃状态,并且与之前的 VPNFilter 一样,目标被描述为“不分青红皂白且广泛传播”,能够获得对网络的持续远程访问。它还可以从受感染的机器上传和下载文件,它是模块化的,允许将新功能添加到已经运行的恶意软件中。根据 NCSC 的恶意软件分析,该恶意软件通过虚假固件更新进入设备,并且即使在具有真实固件更新后仍可以在机器上持续存在。

Cyclops Blink在重新启动和整个合法固件更新过程中持续存在。它针对从制造商默认设置重新配置的WatchGuard设备,以打开远程管理界面以进行外部访问。

NCSC敦促受影响的组织采取措施删除恶意软件,WatchGuard对此进行了详细说明。

“与 FBI、CISA、DOJ 和英国NCSC密切合作,WatchGuard调查并开发了针对 Cyclops Blink的补救措施,这是一个由国家资助的复杂僵尸网络,可能影响了有限数量的WatchGuard防火墙设备,” WatchGuard表示声明。

“WatchGuard 的客户和合作伙伴可以通过立即实施WatchGuard 的4步 Cyclops Blink诊断和补救计划来消除僵尸网络恶意活动带来的潜在威胁,”它补充道。

NCSC 警告说,受Cyclops Blink感染的设备上存在的任何口令都应被假定为已泄露并应更改。

有关保护网络免受网络攻击的其他建议包括避免将网络设备的管理界面暴露在互联网上、使设备保持最新的最新安全补丁以及使用多因素身份验证。NCSC也给出了缓解威胁的指导建议。


就在英美网安机构发布该警报的当天,23日下午,据NetBlocks称,乌克兰外交部、国防部、内政部、乌克兰安全局和内阁的网站在一次“似乎与最近的DDOS攻击一致”的事件中遭受了网络中断。跟踪互联网访问的伦敦组织。DDoS攻击通过充斥虚假流量使站点脱机。


乌克兰数字化转型部长米哈伊洛·费多罗夫 (Mykhailo Fedorov) 表示,该国正在经历另一次针对乌克兰银行的DDoS攻击,《基辅独立报在全球观察员开始注意到中断后不久报道。在随后发布到Telegram Fedorov的消息中,“大规模DDoS攻击”于当地时间下午4 点左右开始。

国家特殊通信和信息保护局在一份声明中表示,这些网站“再次遭受大规模DDoS攻击”,并指出由于将流量切换到其他提供商“以尽量减少损害。” 该机构在声明中说,其他网站“有效地抵抗了攻击并正常工作”。

网络安全专家、英国政府通信总部前信息安全专家马特·泰特告诉 CyberScoop,针对乌克兰的DDoS 事件接二连三“令人担忧”,但“是针对乌克兰政府和公众的持续骚扰和士气低落运动的一部分这种情况已经持续了一段时间。”

参考资源 

1、https://www.zdnet.com/article/security-warning-hackers-are-using-this-new-malware-to-target-firewall-appliances/
2、https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter
3、https://www.cyberscoop.com/ukraine-government-networks-ddos-disruption-russia-invasion/

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存