一名国家行为者已经控制了世界各地的 500,000 个路由器,特别是在乌克兰,皇家马德里队和利物浦队将于周六在那里对阵。该恶意软件名为 VPNFilter,与源自俄罗斯的木马 BlackEnergy 相似。
多年来,安全专家一直在敲响警钟:所谓的外围网络设备,即小型企业路由器、调制解调器路由器、NAS 服务器等,安全水平不够。它们通常没有更新,也不受防病毒或入侵检测或预防系统等安全软件的保护。
然而,一群老练的黑客(可能来自国家)正在大规模利用这一弱点,而我们并不真正知道原因。思科 Talos Intelligence 安全研究人员掌握了名为“Cisco Talos Intelligence”的恶意软件« VPN 过滤器 »它已经感染了全球超过 500,000 台设备。有调制解调器路由器和 Wi-Fi 接入点(Linksys、Netgear)、NAP 存储服务器(QNAP)和入门级企业路由器(TP-Link、Mikrotik)。该恶意软件具有间谍和破坏功能。
担心发生大规模袭击
Talos 最近观察到乌克兰的感染人数急剧增加,预示着即将发生的袭击。这就是为什么该公司决定现在发布对该活动的初步分析,尽管其研究工作尚未完全完成。乌克兰安全局业务单元就其本身而言,VPNFilter 背后的参与者正是俄罗斯联邦。她认为这个国家正在准备发动袭击“大规模地涉及国家机构和私营公司”欧洲冠军联赛决赛期间。皇家马德里队和利物浦队确实将于下周六(5 月 26 日)在基辅会面。
就塔罗斯而言,他不会冒被指责的风险。然而,研究人员注意到 VPNFilter 的代码与 BlackEnergy 的代码相似,BlackEnergy 是一种特洛伊木马,曾导致停电位于乌克兰西部地区,美国和乌克兰政府部门将其归咎于俄罗斯。然而,在这种情况下,代码检查不足以证明任何事情。
从技术上讲,通过 VPNFilter 控制设备非常复杂,需要三个步骤。首先是设备的初始感染。塔洛斯不知道这是如何实现的。首先应该排除使用零日缺陷,因为目标设备已经充满了通常未修补的缺陷。那么为什么要让生活变得复杂呢?
第一个执行的恶意软件是“加载程序”,其唯一目的是从黑客的服务器下载真实的有效负载。该过程有一点独创性:加载程序在从 photobucket.com 或 Toknowall.com 下载的图像的 EXIF 数据中检索该服务器的 IP 地址。如果这些服务无法访问,则通过特殊的 IP 同步 (SYN) 数据包直接发送 IP 地址。它不太谨慎,但同样有效。
第二个恶意软件是多功能和模块化软件。它可以通过破坏启动数据来彻底破坏其主机。它还可以执行任何 shell 命令或简单地窃取文件。最后,它可以下载插件。 Talos 发现了两个:一个 Tor 通信模块和一个网络数据包分析器。后者尤其具有检测网站标识符和 SCADA 流(工业基础设施协议)的能力。
简而言之,VPNFilter 将自己呈现为一把复杂的瑞士军刀。“这种恶意软件用于创建一个广泛且难以归因的基础设施,可用于多种需求”,塔洛斯强调道。众多受感染的设备可以充当代理来掩盖其踪迹。至于恶意软件,它具有间谍和破坏功能。这就是为什么目前很难确定这场运动的真正目标。要摆脱 VPNFilter,不幸的是没有一千种解决方案:如果您的设备上没有防病毒软件,建议完全重置它。
