一名國家行為者已經控制了世界各地的 50 萬個路由器,特別是在烏克蘭,皇家馬德里和利物浦將於週六在那裡對陣。該惡意軟體名為 VPNFilter,與源自俄羅斯的木馬 BlackEnergy 相似。
多年來,安全專家一直在敲響警鐘:所謂的外圍網路設備,即小型企業路由器、數據機路由器、NAS 伺服器等,安全等級不夠。它們通常沒有更新,也不受防毒或入侵偵測或預防系統等安全軟體的保護。
然而,一群老練的駭客(可能來自國家)正在大規模利用這一弱點,而我們並不真正知道原因。思科 Talos Intelligence 安全研究人員掌握了名為「Cisco Talos Intelligence」的惡意軟體« VPN 過濾器 »它已經感染了全球超過 50 萬台設備。有數據機路由器和 Wi-Fi 存取點(Linksys、Netgear)、NAP 儲存伺服器(QNAP)和入門級企業路由器(TP-Link、Mikrotik)。該惡意軟體具有間諜和破壞功能。
擔心大規模襲擊
Talos 最近觀察到烏克蘭的感染人數急劇增加,預示著即將發生的襲擊。這就是為什麼該公司決定現在發布對該活動的初步分析,儘管其研究工作尚未完全完成。烏克蘭安全局事業單位就其本身而言,VPNFilter 背後的參與者正是俄羅斯聯邦。她認為這個國家正在準備發動攻擊“大規模地涉及國家機構和私人公司”歐洲冠軍聯賽決賽期間。皇家馬德里和利物浦確實將於下週六(5 月 26 日)在基輔會面。
就塔羅斯而言,他不會冒被指責的風險。然而,研究人員注意到 VPNFilter 的代碼與 BlackEnergy 的代碼相似,BlackEnergy 是一種特洛伊木馬,曾導致停電位於烏克蘭西部地區,美國和烏克蘭政府部門將其歸咎於俄羅斯。然而,在這種情況下,程式碼檢查不足以證明任何事情。
從技術上講,透過 VPNFilter 控制設備非常複雜,需要三個步驟。首先是設備的初始感染。塔洛斯不知道這是如何實現的。首先應該排除使用零日缺陷,因為目標設備已經充滿了通常未修補的缺陷。那為什麼要讓生活變得複雜呢?
第一個執行的惡意軟體是“載入程式”,其唯一目的是從駭客的伺服器下載真實的有效負載。這個過程有一點獨創性:載入程式在從 photobucket.com 或 Toknowall.com 下載的圖像的 EXIF 資料中檢索該伺服器的 IP 位址。如果這些服務無法訪問,則透過特殊的 IP 同步 (SYN) 封包直接發送 IP 位址。它不太謹慎,但同樣有效。
第二個惡意軟體是多功能和模組化軟體。它可以透過破壞啟動資料來徹底破壞其主機。它還可以執行任何 shell 命令或簡單地竊取檔案。最後,它可以下載插件。 Talos 發現了兩個:一個 Tor 通訊模組和一個網路封包分析器。後者尤其具有檢測網站識別碼和 SCADA 流(工業基礎設施協議)的能力。
簡而言之,VPNFilter 將自己呈現為一把複雜的瑞士軍刀。“這種惡意軟體用於創建一個廣泛且難以歸因的基礎設施,可用於多種需求”,塔洛斯強調。眾多受感染的設備可以充當代理來掩蓋其痕跡。至於惡意軟體,它具有間諜和破壞功能。這就是為什麼目前很難確定這場運動的真正目標。要擺脫 VPNFilter,不幸的是沒有一千種解決方案:如果您的裝置上沒有防毒軟體,建議完全重置它。
