美、英警方拿下攻擊WatchGuard、華碩設備的惡意程式Cyclops Blink網路

美國司法部宣布，聯邦調查局（FBI）已破壞年初感染WatchGuard、華碩的Cyclops Blink殭屍網路程式的基礎架構。

Cyclops Blink是在今年2月首先為安全研究人員發現。它先是感染WatchGuard全球約1%的防火牆及中小型企業路由器，而後於3月攻擊華碩路由器。研究人員相信它是隷屬於俄國情報局（GRU）的駭客組織Sandworm所開發，後者是全世界最頂尖也最兇狠的駭客組織，據信涉及NotPetya勒索軟體並攻擊2018年平昌冬奧網站，也曾策畫攻擊烏克蘭電廠。

研究人員研判Cyclops Blink是取代Sandworm之前開發的殭屍網路程式VPNFilter。VPNFilter也是為害甚烈的惡意程式，Linksys、Netgear、QNAP、TP-Link網路裝置都曾成為其受害者。美國FBI和思科於2018年合作摧毁了VPNFilter的網路基礎架構，當時共有50萬臺裝置遭到感染。Cyclops Blink等於是重新借用了VPNFiter之前建立的基礎架構，不過Cyclops Blink殭屍網路裝置數量少了將近40%。

雖然WatchGuard和華碩相繼釋出修補程式，但到3月中全球大部分被感染的裝置都還是沒修補，於是美英警方採取主動出擊。

美、英警方偕同WatchGuard於3月發動破獲Cyclops Blink網路的行動。警方人員遠端存取遭感染的WatchGuard裝置，紀錄C&C裝置序號，複製惡意程式，最後從這些機器清除Cyclops Blink，同時關閉其管理傳輸埠以防止Sandworm日後存取並駭入。這次行動只關閉了Cyclops Blink的通訊基礎架構，未能摧毁Sandworm以其他殭屍網路程式建立的網路基礎架構。

為免爭議，FBI強調，存取這些裝置過程中並未蒐集裝置的其他資訊，FBI也沒有和這些受害裝置建立連線。