奇客 俄罗斯精英黑客用新僵尸网络恶意程序感染网络设备
俄罗斯精英黑客使用一种以前未见的新僵尸网络恶意程序感染 WatchGuard 制造的网络设备窃取机密。被称为 Cyclops Blink 的恶意程序感染了百分之一的 WatchGuard 网络防火墙。Cyclops Blink 存在了大约三年时间,用于取代 2018 年发现的 VPNFilter 恶意程序。VPNFilter 被认为来自 APT 28 (aka Fancy Bear),在全世界感染了 50 万路由器,它的一个攻击模块甚至能尝试将 HTTPS 连接降级为明文 HTTP 连接。在 VPNFilter 曝光之后,黑客开发了新的恶意程序。Cyclops Blink 被发现能修改 WatchGuard 设备的固件,篡改用于验证固件镜像合法的 HMAC 值,让包含恶意功能的固件能合法运行。修改后的固件包含了一个硬编码的 RSA 公钥用于 C2 通信。