美国司法部今天披露了法院授权拆除命令和控制系统的细节，沙虫网络犯罪团伙用于指挥受其 Cyclops Blink 恶意软件感染的网络设备。

此举是继美国和英国执法部门于 2 月发布的联合安全警报之后，该警报警告 WatchGuard 防火墙和华硕路由器被破坏以运行 Cyclops Blink。这种僵尸网络恶意软件（此处为技术故障[PDF]）允许远程控制设备以代表其策划者进行攻击。

此前，山姆大叔曾表示，沙虫团队为俄罗斯联邦的 GRU 间谍神经中心工作，该中心负责处理外国情报活动。

“法院授权清除俄罗斯 GRU 部署的恶意软件表明该部门致力于使用我们掌握的所有法律工具来破坏民族国家的黑客行为，”司法部国家安全部门的助理司法部长马修奥尔森说。

“通过与 WatchGuard 以及该国和英国的其他政府机构密切合作，分析恶意软件并开发检测和修复工具，我们共同展示了公私合作伙伴关系为我们国家的网络安全带来的力量。该部门仍然致力于以任何形式对抗和破坏民族国家的黑客行为。”

在 3 月 22 日法院授权的行动中，联邦调查局从“数千个”防火墙设备中删除了恶意代码，Sandworm 入侵这些设备作为 Cyclops Blink 僵尸网络的命令和控制系统 (C2)。这切断了网络工作人员与受感染设备上的机器人之间的通信。

但是，该操作并未访问全球数千台单独设备上的远程控制 Cyclops Blink 恶意软件。联邦调查局使用自动脚本记录了 C2 设备的序列号和恶意代码的副本。据司法部称，特工“没有从相关受害者网络搜索或收集其他信息”。

联邦调查局补充说，该行动也不涉及任何 FBI 与机器人设备的通信。

2 月 23 日，英国国家网络安全中心和包括 CISA、FBI 和 NSA 在内的几家美国机构发布了一份咨询，确定了 Cyclops Blink，这些组织表示，这看起来是 Sandworm 替代 VPNFilter。

读者可能还记得，VPNFilter是 2018 年针对路由器和存储设备的恶意软件。Sandworm 是实施了几次高调攻击的船员，包括 2015 年和 2016 年对乌克兰电网的网络攻击、2017 年的 NotPetya 以及​​同年的法国总统竞选电子邮件泄露。

在 2 月份的联合警报中，这些机构指出 Cyclops Blink 以 WatchGuard 和华硕硬件为目标。由于这些设备通常位于受害者网络的外围，它们使 Sandworm 能够针对这些网络中的计算机进行各种恶意活动，例如间谍活动或部署更具破坏性的恶意软件。

趋势科技的另一条警告表明，Cyclops Blink 试图将这些受感染的设备转变为 C2 服务器，以备将来攻击。

在政府发布安全公告的同一天，WatchGuard 发布了针对其设备的检测和修复工具，并建议客户立即部署这些工具以删除任何远程控制恶意软件。不久之后，华硕发布了自己的指南。根据司法部的说法，到 3 月中旬，大多数受感染的设备仍然感染了 Cyclops Blink。

这些充当机器人的 WatchGuard 和 ASUS 设备需要修补并清除恶意代码。

“该部门强烈鼓励网络防御者和设备所有者审查 2 月 23 日的公告以及 WatchGuard 和华硕发布的版本，”美联储建议道