联邦调查局透露,它在 3 月份针对俄罗斯情报部门控制的大型僵尸网络开展了一项行动。
该行动已获得加利福尼亚州和宾夕法尼亚州法院的授权,允许 FBI 从其指挥和控制服务器(也称为 C2s)中复制和删除所谓的 Cyclops Blink 恶意软件,从而使 FBI 能够切断与数千台受感染设备的连接正在接受服务器的指示。
司法部周三宣布了 3 月份的行动,称其为“成功”,但警告设备所有者仍应审查2 月 23 日最初的建议,以保护他们受损的设备并防止再次感染。
司法部表示,自从 2 月份有关 Cyclops Blink 威胁上升的消息首次出现以来,数千台受感染的设备已被所有者保护,但证明了法院下令进行的操作是合理的,因为“大多数”受感染的设备在短短几周内仍然受到威胁3月中旬晚些时候。
Cyclops Blink 被认为是 VPNFilter 的继任者,VPNFilter 是一个僵尸网络,在 2018 年被安全研究人员曝光后很大程度上被忽视,后来成为美国政府行动的目标,旨在破坏其指挥和控制服务器。 Cyclops Blink 和 VPNFilter 都归因于 Sandworm ,这是一群为俄罗斯军事情报部门 GRU 工作的黑客。
根据司法部的说法,法院命令“立即阻止了 Sandworm 访问这些 C2 设备,从而破坏了 Sandworm 对受修复的 C2 设备控制的受感染机器人设备的控制”。
“该行动不涉及任何 FBI 与机器人设备的通信,”司法部表示。
美国当局并未推测Cyclops Blink 僵尸网络的目标,但安全研究人员表示,该僵尸网络能够收集信息并进行间谍活动,发起分布式拒绝服务攻击,使网站和服务器因垃圾流量而过载作为破坏性攻击,使设备无法运行并导致系统和网络中断。
多年来,Sandworm 以发起破坏性黑客攻击而闻名,包括使乌克兰电网离线,使用恶意软件试图炸毁沙特石化厂,以及最近针对乌克兰和欧洲上空的 Viasat 卫星网络部署了破坏性擦除器。
Mandiant 情报分析副总裁 John Hultquist 在回应 FBI 的行动时表示:“沙虫是俄罗斯最主要的网络攻击能力,也是我们在入侵事件中最担心的攻击者之一。我们担心它们可能被用来打击乌克兰的目标,但我们也担心它们可能会打击西方的目标,以报复对俄罗斯施加的压力。”
去年 4 月,FBI 发起了首例复制和删除中国间谍留下的后门的行动,中国间谍大规模入侵了数千个易受攻击的 Exchange 服务器,以窃取联系人列表和电子邮件收件箱。
更新和更正以澄清受感染的设备并未作为 FBI 行动的一部分而被访问。
阅读更多:
- Viasat网络攻击归咎于俄罗斯wiper恶意软件
- FBI 启动行动,从被黑的 Microsoft Exchange 服务器中删除后门
- 英国称俄罗斯的 GRU 是 2015 年至 2017 年间一连串混乱网络攻击的幕后黑手
来源: https://techcrunch.com/2022/04/06/fbi-operation-botnet-sandworm/