Sophos防火墙被Pygmy Goat后门攻击 媒体

Sophos防火墙设备遭受Pygmy Goat后门攻击

主要要点

根据SecurityWeek的报道，多个Sophos XG防火墙设备已经被先进且隐秘的Pygmy Goat后门攻击。这种后门不仅利用加密的ICMP数据包进行通信，还将恶意流量伪装成合法的SSH连接，从而逃避检测。

根据英国国家网络安全中心(NCSC)的报告，Pygmy Goat可能还针对其他基于Linux的网络设备。报告显示，攻击者使用了伪造的Fortinet证书、两个远程Shell以及多种沟通唤醒技术。NCSC表示：“尽管Pygmy Goat并未包含任何新奇的技术，但它的复杂性体现在如何使攻击者能够按需与其交互，同时与正常网络流量融为一体。代码本身简洁，结构良好，简短的函数有助于未来的扩展，并且在整个过程中都检查了错误，表明它是由一位或多位专业开发人员编写的。”

这种分析是在一份Sophos报告的基础上进行的，该报告详细描述了网络安全公司部署专有植入物以监控和防御针对其产品零日漏洞的中国国家支持攻击者。