俄罗斯最精英、最厚颜无耻的间谍机构之一的黑客已经用一种以前看不见的恶意软件感染了世界各地的家庭和小型办公室网络设备,该软件将这些设备变成了攻击平台,可以窃取机密数据并攻击其他网络。
Cyclops Blink被称为高级恶意软件,该公司周三表示,它已经感染了网络设备制造商WatchGuard生产的约1%的网络防火墙设备。该恶意软件能够滥用在受感染设备中发现的合法固件更新机制,使其具有持久性,这意味着该恶意软件能够在重新启动后存活。
Cyclops Blink已经传播了近三年,它取代了VPNFilter。2018年,研究人员发现该恶意软件感染了约50万个家庭和小型办公室路由器。VPNFilter包含一把名副其实的瑞士军刀,黑客可以通过它窃取或操纵流量,并监控工业控制系统使用的一些SCADA协议。美国司法部将黑客攻击与俄罗斯联邦武装部队总参谋部的主要情报局(通常简称GRU)联系起来。随着VPNFilter的暴露,沙虫黑客构建了一个新的恶意软件来感染网络设备。和它的前身一样,Cyclops Blink拥有专业开发的固件的所有特征,但它也有一些新的技巧,使其更隐蔽,更难移除。
英国国家网络安全中心(National Cyber Security Center)的官员在一份咨询报告中写道:“该恶意软件本身非常复杂、模块化,具有基本的核心功能,可以将设备信息发送回服务器,并允许下载和执行文件。”。“在恶意软件运行时,还有添加新模块的功能,这使Sandworm能够根据需要实现附加功能。”
该公告称,到目前为止,Sandworm“主要”使用该恶意软件从WatchGuard感染网络设备,但黑客可能也能将其编译为在其他平台上运行。恶意软件通过滥用设备用于接收固件更新的合法进程,在WatchGuard设备上获得持久性。
恶意软件首先复制存储在设备上的固件映像,然后修改它们以包含恶意功能。Cyclops Blink然后操纵一个HMAC值,用于以加密方式证明图像是合法的,以便设备运行它。过程如下所示:
该恶意软件包含一个用于C2通信的硬编码RSA公钥,以及一个硬编码RSA私钥和X.509证书。但在英国官员分析的样本中,它们似乎没有被积极使用,这使得它们有可能被单独的模块使用。
Cyclops Blink使用OpenSSL加密库对TLS提供的加密下的通信进行加密。
每次恶意软件信标出现时,它都会从当前C2服务器IPv4地址列表和C2端口硬编码列表中随机选择一个目标。信标由包含运行模块数据的排队消息组成。每条消息都使用AES-256-CBC单独加密。OpenSSL_EVP_SealInit函数用于为每条消息随机生成加密密钥和IV,然后使用硬编码RSA公钥对其进行加密。OpenSSL_RSA_public_decrypt函数用于使用硬编码RSA公钥对响应信标的任务进行解密。
其他新的秘密措施包括使用Tor隐私网络隐藏恶意软件使用的IP地址。英国官员写道:
受害设备被组织成集群,Cyclops Blink的每个部署都有一个命令和控制(C2)IP地址及其使用的端口列表(T1008)。到目前为止,所有已知的C2 IP地址都已被受损的WatchGuard防火墙设备使用。Cyclops Blink客户端和服务器之间的通信受传输层安全(TLS)(T1071.001)保护,使用单独生成的密钥和证书。Sandworm通过Tor网络连接到C2层来管理独眼巨人眨眼: