首页 > 安全 > 正文

美国拆除了俄罗斯联系的独眼巨人眨眼僵尸网络

最后更新 :2022.04.07

美国政府宣布破坏由俄罗斯联系的Sandworm APT组运营的独眼巨人眨眼僵尸网络。

美国政府宣布它已经拆除了俄罗斯联系的Sandworm APT组运营的独眼巨人眨眼僵尸网络。

今天司法部宣布于2022年3月进行的法院授权行动,以扰乱在安全研究人员所知的威胁演员的控制下,破坏成千上万受感染的网络硬件设备的两层全球僵尸网络,美国政府以前归因于俄罗斯联邦武装部队(GRU)总参谋部的主要情报局。阅读Doj发布的新闻稿。从易受伤害的Internet连接的防火墙设备复制和删除了恶意软件,该防火墙设备是用于底层僵尸网络的命令和控制(C2)的Sandworm。

在2月,美国和英国Cybersecuriity和执法机构发布了一份关于一个关于新恶意软件的联合安全咨询,被称为Cyclops眨眼,已与俄罗斯支持的Sandworm Apt组联系起来。

Sandworm&Nbsp;(又名Blackenergy和Telebots) 已经自2000年以来活跃,它根据“&nbsp”的控制运作;  俄罗斯gru的特殊技术主中心(gtsst)。

该集团也是该群体的作者,  intpetya ransomware 这次击中数百人全球公司在2017年6月,造成价值数十亿的损害。

Cyclops眨眼被认为是  vpnfilter&nbsp的替代品;僵尸网络在2018年首次暴露,当时由超过&nbsp组成; 500,000受损路由器和网络附加存储(NAS)设备。模型。

Cyclops闪烁是具有模块化结构的复杂恶意软件。它支持功能在运行时添加新模块,允许Sandworm运算符根据需要实现其他功能。

恶意软件利用固件更新过程实现持久性。恶意软件管理受害者的集群,Cyclops的每个部署都闪烁有一个命令和控制(C2)IP地址和它使用的端口列表。

我们今天宣布的第二个行动是俄罗斯军事情报局控制的全球僵尸网络中断 - 通常称为GRU。读到doj。俄罗斯政府最近使用了类似的基础设施来攻击乌克兰目标。

幸运的是,我们能够在使用之前扰乱这个僵尸网络。由于我们与国际合作伙伴的密切合作,我们能够检测到数千个网络硬件设备的感染。

我们然后能够禁用GRU的在僵尸网络可以被武器化之前对这些设备进行控制。

联邦调查局在删除了独眼巨人之前,联邦调查局在外国执法合作伙伴的帮助下已经通知了美国和国外的受感染器件。

我们与手表密切合作,分析了恶意软件,并在过去几周内开发检测工具和修复技术。我们的操作删除了俄罗斯在僵尸网络网络上控制这些Firebox设备的能力,然后从受感染的设备复制和删除恶意软件。联邦调查局总监Chris Wray说。现在我应该注意,在我们前进时,任何充当机器人的火箱设备可能仍然在未来仍然易受攻击,直到他们的所有者减轻,所以这些所有者应该尽快采用手表推荐的检测和修复步骤。

WatchGuard发布了有关如何恢复受损的Firebox设备的说明。al所以开发并发布了一套独眼巨人的眨眼检测工具,以及这4步循环眨眼和修复计划,以帮助客户诊断,如果需要,防止未来感染。

]请投票安全事务作为最佳欧洲网络安全博主奖2022投票给您的获奖者投票给我在Dowerds最佳个人(非商业)安全博客和Tech Whiz最佳技术博客和您选择的其他人。提名,请访问:https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体

- END -

看更多