英國國家網絡安全中心（National Cyber Security Centre，NCSC）以及美國聯邦調查局（FBI）等組織近日指出，俄羅斯黑客集團Sandworm 自2019 年6 月就開始利用殭屍網絡惡意程序Cyclops Blink 來感染連網設備，並且主要鎖定由WatchGuard 所開發的防火牆設備，相關單位並未公佈Cyclops Blink 殭屍網絡的規模，而WatchGuard 則表示只有不到1% 的設備被感染，但已釋出檢測工具和整治計劃。

Sandworm 在2015 年和2016 年間曾針對烏克蘭的電廠展開攻擊，也曾在全球大規模散佈NotPetya 勒索軟件。Sandworm 先前使用的殭屍網絡惡意程序為VPNFilter，在2018 年5 月遭到思科（Cisco）威脅情報組織Talos 揪出，VPNFilter 當時已經感染了全球50 萬台網絡設備，被黑的設備主要位於烏克蘭，同月FBI 即藉由接管VPNFilter 的網域，摧毀了這個殭屍網絡。

上述組織相信Cyclops Blink 是Sandworm 用來取代VPNFilter 的作品，而且從2019 年便開始部署，意味著Cyclops Blink 已潛伏超過兩年，而且主要部署在WatchGuard 防火牆設備上。

黑客針對WatchGuard 設備的Firebox 軟件更新程序進行了反向工程，並找到該程序中的弱點，可重新計算用以驗證軟件更新映像檔的HMAC 值，讓Cyclops Blink 得以常駐於WatchGuard 設備上，不論重新啟動還是更新軟件都無法移除它。

Cyclops Blink 還具備讀寫設備檔案系統的能力，可置換合法的檔案，因此就算上述弱點已被修補，黑客依舊能夠部署新功能來維持Cyclops Blink 的存在，屬於很高階的惡意程序。

WatchGuard 在同一天給出了檢測工具及整治計劃，表示只有不到1% 的WatchGuard 防火牆設備受到感染，若未配置允許來自網絡的無限制存取，便不會有危險，且並無證據顯示WatchGuard 或客戶資料外洩。

WatchGuard 提供了3 種檢測工具，包括可從網絡存取的Cyclops Blink Web Detector，還有必須下載並執行安裝的WatchGuard System Manager Cyclops Blink Detector，兩者的主要差異是前者必須與WatchGuard 分享診斷紀錄，後者則不需要，此外還有一款是專供擁有WatchGuard Cloud 帳號使用的WatchGuard Cloud Cyclops Blink Detector。

如果設備遭到感染，那麼就必須依照WatchGuard 的指示重置設備到干淨狀態，再升級到最新的Fireware OS 版本。不僅如此，用戶也必須更新管理帳號的密碼短語，以及更換所有該設備先前所使用的憑證或短語，最後要確認該防火牆的管理政策並不允許來自網絡的無限制存取。

WatchGuard 還建議所有用戶，不管有無受到感染都應升級到最新的Fireware OS，因為它修補了最新的漏洞，也提供了自動化的系統完整性檢查能力，得以強化對軟件的保護。