5月25日訊 思科和賽門鐵克公司于美國時間2018年5月23日陸續(xù)發(fā)出安全預(yù)警：黑客利用一個復(fù)雜的規(guī)模化惡意軟件 VPNFilter，感染了全球54個國家的50萬臺路由器，并構(gòu)建了龐大的僵尸網(wǎng)絡(luò)，Linksys，MikroTik，Netgear 和 TP-Link 等多家路由器設(shè)備廠商受影響。

VPNFilter功能強大，可破壞固件設(shè)備

惡意軟件 VPNFilter 被認為是第二個支持啟動持久性功能的 IoT 惡意軟件，不僅如此，該軟件還可掃描數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）組件收集有價值的信息，并支持刪除/破壞固件的功能，致使受影響的設(shè)備不可用。

全球50萬臺 路由器變“肉雞”

思科稱在逾50萬臺路由器上發(fā)現(xiàn)了 VPNFilter 惡意軟件，全球54個國家，多個品牌的路由器遭遇感染。思科表示，攻擊者未使用 0Day 漏洞構(gòu)建該僵尸網(wǎng)絡(luò)，而是利用的老舊的公開已知漏洞感染路由器。賽門鐵克羅列了被感染的設(shè)備型號：

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

其它運行QTS軟件的QNAP NAS 設(shè)備

TP-Link R600VPN

網(wǎng)件、Linksys等公司建議用戶確保路由產(chǎn)品已經(jīng)升級到最新的固件版本來抵御此次網(wǎng)絡(luò)攻擊。

烏克蘭或再遭網(wǎng)絡(luò)攻擊

思科表示，VPNFilter 惡意軟件的代碼與2015年及2016年破壞烏克蘭電網(wǎng)的惡意軟件 BlackEnergy 存在重疊之處，該惡意軟件或與俄羅斯黑客組織有關(guān)，且有可能在近期發(fā)起針對烏克蘭的大型黑客攻擊。

多國曾指責俄羅斯就是 NotPetya 勒索軟件攻擊的幕后黑手。此外，有人認為“壞兔子”勒索軟件也出自俄羅斯之手，它們的主要目標均是烏克蘭。

外媒報道，俄羅斯黑客可能或蓄謀再次對烏克蘭發(fā)動網(wǎng)絡(luò)攻擊，這一次可能會使用由大量路由器組建的僵尸網(wǎng)絡(luò)。

近期被感染設(shè)備激增

被惡意軟件 VPNFilter 感染的設(shè)備組成的個僵尸網(wǎng)絡(luò)可追溯至2016年，但研究人員表示，該網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)最近幾個月才開始大肆掃描設(shè)備，規(guī)模也在短期內(nèi)得以迅速擴大。思科表示該僵尸網(wǎng)絡(luò)的操縱者過去幾周一直在重點感染烏克蘭的路由器和 IoT 設(shè)備，甚至創(chuàng)建了專門的命令與控制服務(wù)器（C&C 服務(wù)器）管理這些烏克蘭“肉雞”。

目前尚不清楚攻擊者的意圖所在，隨著該僵尸網(wǎng)絡(luò)的行動加快，很快將會爆發(fā)一起攻擊，但思科擔心，其最可能瞄準的目標可能是烏克蘭近期即將舉辦的重大活動。

或瞄準烏克蘭大型活動

UEFA 歐洲冠軍聯(lián)賽決賽將于2018年5月26日在烏克蘭首都基輔拉開序幕。

烏克蘭的憲法日（6月28日）也可能會是攻擊發(fā)生之時，而2017年這個時候正是 NotPetya 攻擊的發(fā)動日期。

惡意軟件攻擊三步走

第一階段：由最輕量級的惡意程序感染設(shè)備，并獲得啟動持久性。幾周前，羅馬尼亞安全專家披露，第一款在設(shè)備重啟后仍能存活的 IoT 惡意軟件“捉迷藏”（HNS）。賽門鐵克發(fā)布的一份報告指出，用戶可執(zhí)行所謂的“硬重置”（即恢復(fù)出廠設(shè)置）來移除第一階段的惡意軟件。

第二階段：VPNFilter 的惡意軟件模塊雖然無法在設(shè)備重啟后存活，但它可以在用戶重啟設(shè)備時依靠第一階段的模塊重新下載該模塊。第二階段的主要作用是支持第三階段的插件架構(gòu)。

思科稱，目前為止已發(fā)現(xiàn)了第三階段的插件功能，包括：

嗅探網(wǎng)絡(luò)數(shù)據(jù)包并攔截流量；

監(jiān)控是否存在 Modubus SCADA 協(xié)議；

通過 Tor 匿名網(wǎng)絡(luò)與 C&C 服務(wù)器通信。

思科懷疑，VPNFilter 的操縱者已經(jīng)創(chuàng)建了其它模塊，只是目前尚未部署。

VPNFilter 是一款擦除器

雖然 VPNFilter 第二階段的模塊并不具有啟動持久性，但這個階段的模塊最危險，因為它包含自毀功能，可覆寫設(shè)備固件的關(guān)鍵部分并重啟設(shè)備，從而導(dǎo)致設(shè)備不可用 ，因為啟動設(shè)備所需的代碼已被亂碼替換。

思科的研究人員在報告中指出，大部分受害者無法恢復(fù)這一操作，它要求受害者具備普通消費者一般不具備的技術(shù)能力、知識或工具。

VPNFilter 的主要用途

從目前來看，攻擊者可能會利用 VPNFilter 開展如下行動：

監(jiān)控網(wǎng)絡(luò)流量并攔截敏感網(wǎng)絡(luò)的憑證；

監(jiān)控流向SCADA設(shè)備的網(wǎng)絡(luò)流向，并部署專門針對工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施的惡意軟件；

利用該僵尸網(wǎng)絡(luò)的“肉雞”隱藏其它惡意攻擊的來源；

使路由器癱瘓，導(dǎo)致烏克蘭大部分互聯(lián)網(wǎng)基礎(chǔ)設(shè)施不可用。

思科表示目前正在和公私實體合作識別被 VPNFilter 感染的設(shè)備，并在攻擊發(fā)動之前將其消滅。烏克蘭特勤局已發(fā)布安全預(yù)警。

FBI 已控制 VPNFilter 僵尸網(wǎng)絡(luò)一臺重要的服務(wù)器

2018年5月23日美國政府表示，將尋求出手解救被黑客入侵并控制的數(shù)十萬受感染的路由及存儲設(shè)備。

持有法院命令的美國聯(lián)邦調(diào)查局（FBI）特工已控制了該僵尸網(wǎng)絡(luò)一臺重要的服務(wù)器，發(fā)現(xiàn)了該僵尸網(wǎng)絡(luò)的受害者，并重挫了該僵尸網(wǎng)絡(luò)再次感染目標的能力。TheDailyBeast 報道指出，VPNFilter與俄羅斯黑客組織Fancy Bear（又名APT28）有關(guān)。

法庭記錄顯示，F(xiàn)BI 自2017年八月以來一直在調(diào)查 VPNFilter 僵尸網(wǎng)絡(luò)，當時 FBI 特工向美國匹茲堡一名受害者（家用路由器遭感染）了解了情況。這名受害者自愿將路由器交給了 FBI 特工，還允許 FBI 利用其家用網(wǎng)絡(luò)上的網(wǎng)絡(luò)分流器觀察網(wǎng)絡(luò)流量。

設(shè)備重啟后可擺脫控制

FBI 利用受害者提供的這些素材識別出這款惡意軟件的一個關(guān)鍵弱點：如果受害者重啟被感染的路由器，惡意插件就會全部消失，只有這款惡意軟件的核心代碼存活下來。核心代碼經(jīng)過重新編程能通過互聯(lián)網(wǎng)連接到黑客部署的 C&C 服務(wù)器。核心代碼首先會檢查托管在 Photobucket（熱門的圖片網(wǎng)站）網(wǎng)站上、在元數(shù)據(jù)中隱藏信息的特定圖片。如果核心代碼無法找到這些圖片（事實上已從Photobucket 刪除），它就會轉(zhuǎn)向硬編網(wǎng)址 ToKnowAll[.]com 的應(yīng)急備份控制點。

5月22日，匹茲堡的 FBI 特工要求該地聯(lián)邦法官下達命令，以讓域名注冊公司 Verisign 將 ToKnowAll[.]com 地址移交給 FBI，以進一步展開調(diào)查，破壞該僵尸網(wǎng)絡(luò)相關(guān)的犯罪活動，并協(xié)助補救工作。法官同意了 FBI 的要求，F(xiàn)BI 5月23日接管了該域名。

賽門鐵克公司的技術(shù)總監(jiān)維克拉姆·塔庫爾表示，此舉可有效扼殺這款惡意軟件重啟后恢復(fù)活動的能力。VPNFilter 惡意軟件的 Payload 本身不具有持久性，因此在路由器重啟后亦無法存活，普通消費者可重啟路由器阻止這類網(wǎng)絡(luò)攻擊。

FBI 正在收集被感染路由器（向ToKnowAll[.]com通信）的互聯(lián)網(wǎng) IP 地址，F(xiàn)BI 可利用 IP 信息清理該僵尸網(wǎng)絡(luò)的感染。

塔庫爾指出，F(xiàn)BI 可追蹤遭遇感染的受害者，并將此類信息提供給當?shù)鼗ヂ?lián)網(wǎng)服務(wù)提供商。部分互聯(lián)網(wǎng)服務(wù)提供商有能力遠程重啟路由器，其它這類提供商可通知用戶，敦促其重啟設(shè)備。他表示，從技術(shù)角色來看，VPNFilter 不會向 FBI 發(fā)送受害者的瀏覽歷史或其它敏感數(shù)據(jù)。它的威脅能力純粹要求額外的 Payload。被感染的路由器目前沒有將數(shù)據(jù)泄露給 ToKnowAll[.]com。