美国，英国机构警告称，新的俄罗斯僵尸网络是由黑客攻击的防火墙设备构建的

英国和美国的情报机构披露了一种新的僵尸网络恶意软件的细节。独眼巨人眨眼 that's been attributed to the Russian-backed Sandworm hacking group and deployed in attacks dating back to 2019.

“Cyclops Blink似乎是2018年暴露的VPNFilter恶意软件的替代框架，该软件利用网络设备，主要是小型办公室/家庭办公室（SOHO）路由器和网络连接存储（NAS）设备，”这些机构说。“与VPNFilter一样，Cyclops Blink部署也显得不分青红皂白，而且分布广泛。”

联合政府咨询来自英国国家网络安全中心（NCSC）、网络安全和基础设施安全局（CISA）、国家安全局（NSA）和美国的联邦调查局（FBI）。

沙虫，又名伏都教熊，是一个在俄罗斯境内活动的高度先进的对手的名字，至少从2008年起就活跃起来了。该黑客组织特别关注乌克兰境内的实体，据称是乌克兰能源部门袭击的幕后黑手。2015年末，乌克兰能源部门的袭击导致了大范围停电。

2020年10月，这一威胁行为体正式与俄罗斯总参谋部主要情报局（GRU）特殊技术主要中心（GTsST）军事单位74455联系起来。

Cisco Talos于2018年5月首次记录了VPNFilter，称其为“复杂的模块化恶意软件系统”，与Sandworm的BlackEnergy恶意软件有重叠，并具有支持情报收集和破坏性网络攻击操作的功能。

IoT僵尸网络恶意软件被发现危害了至少54个国家的50多万台路由器，目标是Linksys、MikroTik、NETGEAR和TP-Link、华硕、D-Link、华为、泛素、QNAP、UPVEL和中兴的设备。

同一个月，美国政府宣布查封并取缔用于攻击的一个关键互联网域名，敦促可能受到感染的SOHO和NAS设备的所有者重新启动设备，暂时中断恶意软件。

截至2021年1月，来自趋势科技公司的一项分析表明，“残留感染”仍然残留在数千年后的sinkholing VPNFilter网络上，甚至当沙蚕演员同时选择重新修改恶意软件以应对公开披露时。

被称为Cyclops Blink的替代品据信至少在2019年6月开始使用，主要关注WatchGuard防火墙设备，尽管这些机构表示，恶意软件可能会被重新利用，以攻击其他架构和固件。

更令人担忧的是，僵尸网络恶意软件被部署为虚假更新，能够在重启和固件升级后存活，并通过Tor匿名网络促进指挥和控制（C2）通信。

研究人员指出：“恶意软件本身是复杂的、模块化的，具有基本的核心功能，可以将设备信息发送回服务器，并允许下载和执行文件。”。“在恶意软件运行时，还有添加新模块的功能，这使Sandworm能够根据需要实现附加功能。”

WatchGuard, in an independent bulletin, called it a state-sponsored botnet that leveraged a previously identified security vulnerability in the Firebox firmware as the initial access vector. The shortcoming was eventually addressed as of May 2021.

“根据目前的估计，Cyclops Blink可能影响了约1%的主动WatchGuard防火墙设备，”该公司说。“只有那些配置为管理层对Internet开放的设备才容易受到Cyclops Blink的攻击。”

这家总部位于西雅图的公司还建议客户立即遵循四步独眼巨人眨眼诊断和补救计划中概述的步骤，诊断并消除僵尸网络潜在恶意活动所构成的威胁。

这些发现是在俄罗斯正式发起全面军事行动入侵乌克兰之际发布的，当时乌克兰的IT基础设施遭到了一系列数据拦截和分布式拒绝服务（DDoS）攻击。