5月25日訊 思科和賽門鐵克公司于美國(guó)時(shí)間2018年5月23日陸續(xù)發(fā)出安全預(yù)警：黑客利用一個(gè)復(fù)雜的規(guī)?；瘣阂廛浖?VPNFilter，感染了全球54個(gè)國(guó)家的50萬(wàn)臺(tái)路由器，并構(gòu)建了龐大的僵尸網(wǎng)絡(luò)，Linksys，MikroTik，Netgear 和 TP-Link 等多家路由器設(shè)備廠商受影響。

VPNFilter功能強(qiáng)大，可破壞固件設(shè)備

惡意軟件 VPNFilter 被認(rèn)為是第二個(gè)支持啟動(dòng)持久性功能的 IoT 惡意軟件，不僅如此，該軟件還可掃描數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）組件收集有價(jià)值的信息，并支持刪除/破壞固件的功能，致使受影響的設(shè)備不可用。

全球50萬(wàn)臺(tái) 路由器變“肉雞”

思科稱在逾50萬(wàn)臺(tái)路由器上發(fā)現(xiàn)了 VPNFilter 惡意軟件，全球54個(gè)國(guó)家，多個(gè)品牌的路由器遭遇感染。思科表示，攻擊者未使用 0Day 漏洞構(gòu)建該僵尸網(wǎng)絡(luò)，而是利用的老舊的公開已知漏洞感染路由器。賽門鐵克羅列了被感染的設(shè)備型號(hào)：

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

其它運(yùn)行QTS軟件的QNAP NAS 設(shè)備

TP-Link R600VPN

網(wǎng)件、Linksys等公司建議用戶確保路由產(chǎn)品已經(jīng)升級(jí)到最新的固件版本來(lái)抵御此次網(wǎng)絡(luò)攻擊。

烏克蘭或再遭網(wǎng)絡(luò)攻擊

思科表示，VPNFilter 惡意軟件的代碼與2015年及2016年破壞烏克蘭電網(wǎng)的惡意軟件 BlackEnergy 存在重疊之處，該惡意軟件或與俄羅斯黑客組織有關(guān)，且有可能在近期發(fā)起針對(duì)烏克蘭的大型黑客攻擊。

多國(guó)曾指責(zé)俄羅斯就是 NotPetya 勒索軟件攻擊的幕后黑手。此外，有人認(rèn)為“壞兔子”勒索軟件也出自俄羅斯之手，它們的主要目標(biāo)均是烏克蘭。

外媒報(bào)道，俄羅斯黑客可能或蓄謀再次對(duì)烏克蘭發(fā)動(dòng)網(wǎng)絡(luò)攻擊，這一次可能會(huì)使用由大量路由器組建的僵尸網(wǎng)絡(luò)。

近期被感染設(shè)備激增

被惡意軟件 VPNFilter 感染的設(shè)備組成的個(gè)僵尸網(wǎng)絡(luò)可追溯至2016年，但研究人員表示，該網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)最近幾個(gè)月才開始大肆掃描設(shè)備，規(guī)模也在短期內(nèi)得以迅速擴(kuò)大。思科表示該僵尸網(wǎng)絡(luò)的操縱者過(guò)去幾周一直在重點(diǎn)感染烏克蘭的路由器和 IoT 設(shè)備，甚至創(chuàng)建了專門的命令與控制服務(wù)器（C&C 服務(wù)器）管理這些烏克蘭“肉雞”。

目前尚不清楚攻擊者的意圖所在，隨著該僵尸網(wǎng)絡(luò)的行動(dòng)加快，很快將會(huì)爆發(fā)一起攻擊，但思科擔(dān)心，其最可能瞄準(zhǔn)的目標(biāo)可能是烏克蘭近期即將舉辦的重大活動(dòng)。

或瞄準(zhǔn)烏克蘭大型活動(dòng)

UEFA 歐洲冠軍聯(lián)賽決賽將于2018年5月26日在烏克蘭首都基輔拉開序幕。

烏克蘭的憲法日（6月28日）也可能會(huì)是攻擊發(fā)生之時(shí)，而2017年這個(gè)時(shí)候正是 NotPetya 攻擊的發(fā)動(dòng)日期。

惡意軟件攻擊三步走

第一階段：由最輕量級(jí)的惡意程序感染設(shè)備，并獲得啟動(dòng)持久性。幾周前，羅馬尼亞安全專家披露，第一款在設(shè)備重啟后仍能存活的 IoT 惡意軟件“捉迷藏”（HNS）。賽門鐵克發(fā)布的一份報(bào)告指出，用戶可執(zhí)行所謂的“硬重置”（即恢復(fù)出廠設(shè)置）來(lái)移除第一階段的惡意軟件。

第二階段：VPNFilter 的惡意軟件模塊雖然無(wú)法在設(shè)備重啟后存活，但它可以在用戶重啟設(shè)備時(shí)依靠第一階段的模塊重新下載該模塊。第二階段的主要作用是支持第三階段的插件架構(gòu)。

思科稱，目前為止已發(fā)現(xiàn)了第三階段的插件功能，包括：

嗅探網(wǎng)絡(luò)數(shù)據(jù)包并攔截流量；

監(jiān)控是否存在 Modubus SCADA 協(xié)議；

通過(guò) Tor 匿名網(wǎng)絡(luò)與 C&C 服務(wù)器通信。

思科懷疑，VPNFilter 的操縱者已經(jīng)創(chuàng)建了其它模塊，只是目前尚未部署。

VPNFilter 是一款擦除器

雖然 VPNFilter 第二階段的模塊并不具有啟動(dòng)持久性，但這個(gè)階段的模塊最危險(xiǎn)，因?yàn)樗詺Чδ?，可覆寫設(shè)備固件的關(guān)鍵部分并重啟設(shè)備，從而導(dǎo)致設(shè)備不可用 ，因?yàn)閱?dòng)設(shè)備所需的代碼已被亂碼替換。

思科的研究人員在報(bào)告中指出，大部分受害者無(wú)法恢復(fù)這一操作，它要求受害者具備普通消費(fèi)者一般不具備的技術(shù)能力、知識(shí)或工具。

VPNFilter 的主要用途

從目前來(lái)看，攻擊者可能會(huì)利用 VPNFilter 開展如下行動(dòng)：

監(jiān)控網(wǎng)絡(luò)流量并攔截敏感網(wǎng)絡(luò)的憑證；

監(jiān)控流向SCADA設(shè)備的網(wǎng)絡(luò)流向，并部署專門針對(duì)工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施的惡意軟件；

利用該僵尸網(wǎng)絡(luò)的“肉雞”隱藏其它惡意攻擊的來(lái)源；

使路由器癱瘓，導(dǎo)致烏克蘭大部分互聯(lián)網(wǎng)基礎(chǔ)設(shè)施不可用。

思科表示目前正在和公私實(shí)體合作識(shí)別被 VPNFilter 感染的設(shè)備，并在攻擊發(fā)動(dòng)之前將其消滅。烏克蘭特勤局已發(fā)布安全預(yù)警。

FBI 已控制 VPNFilter 僵尸網(wǎng)絡(luò)一臺(tái)重要的服務(wù)器

2018年5月23日美國(guó)政府表示，將尋求出手解救被黑客入侵并控制的數(shù)十萬(wàn)受感染的路由及存儲(chǔ)設(shè)備。

持有法院命令的美國(guó)聯(lián)邦調(diào)查局（FBI）特工已控制了該僵尸網(wǎng)絡(luò)一臺(tái)重要的服務(wù)器，發(fā)現(xiàn)了該僵尸網(wǎng)絡(luò)的受害者，并重挫了該僵尸網(wǎng)絡(luò)再次感染目標(biāo)的能力。TheDailyBeast 報(bào)道指出，VPNFilter與俄羅斯黑客組織Fancy Bear（又名APT28）有關(guān)。

法庭記錄顯示，F(xiàn)BI 自2017年八月以來(lái)一直在調(diào)查 VPNFilter 僵尸網(wǎng)絡(luò)，當(dāng)時(shí) FBI 特工向美國(guó)匹茲堡一名受害者（家用路由器遭感染）了解了情況。這名受害者自愿將路由器交給了 FBI 特工，還允許 FBI 利用其家用網(wǎng)絡(luò)上的網(wǎng)絡(luò)分流器觀察網(wǎng)絡(luò)流量。

設(shè)備重啟后可擺脫控制

FBI 利用受害者提供的這些素材識(shí)別出這款惡意軟件的一個(gè)關(guān)鍵弱點(diǎn)：如果受害者重啟被感染的路由器，惡意插件就會(huì)全部消失，只有這款惡意軟件的核心代碼存活下來(lái)。核心代碼經(jīng)過(guò)重新編程能通過(guò)互聯(lián)網(wǎng)連接到黑客部署的 C&C 服務(wù)器。核心代碼首先會(huì)檢查托管在 Photobucket（熱門的圖片網(wǎng)站）網(wǎng)站上、在元數(shù)據(jù)中隱藏信息的特定圖片。如果核心代碼無(wú)法找到這些圖片（事實(shí)上已從Photobucket 刪除），它就會(huì)轉(zhuǎn)向硬編網(wǎng)址 ToKnowAll[.]com 的應(yīng)急備份控制點(diǎn)。

5月22日，匹茲堡的 FBI 特工要求該地聯(lián)邦法官下達(dá)命令，以讓域名注冊(cè)公司 Verisign 將 ToKnowAll[.]com 地址移交給 FBI，以進(jìn)一步展開調(diào)查，破壞該僵尸網(wǎng)絡(luò)相關(guān)的犯罪活動(dòng)，并協(xié)助補(bǔ)救工作。法官同意了 FBI 的要求，F(xiàn)BI 5月23日接管了該域名。

賽門鐵克公司的技術(shù)總監(jiān)維克拉姆·塔庫(kù)爾表示，此舉可有效扼殺這款惡意軟件重啟后恢復(fù)活動(dòng)的能力。VPNFilter 惡意軟件的 Payload 本身不具有持久性，因此在路由器重啟后亦無(wú)法存活，普通消費(fèi)者可重啟路由器阻止這類網(wǎng)絡(luò)攻擊。

FBI 正在收集被感染路由器（向ToKnowAll[.]com通信）的互聯(lián)網(wǎng) IP 地址，F(xiàn)BI 可利用 IP 信息清理該僵尸網(wǎng)絡(luò)的感染。

塔庫(kù)爾指出，F(xiàn)BI 可追蹤遭遇感染的受害者，并將此類信息提供給當(dāng)?shù)鼗ヂ?lián)網(wǎng)服務(wù)提供商。部分互聯(lián)網(wǎng)服務(wù)提供商有能力遠(yuǎn)程重啟路由器，其它這類提供商可通知用戶，敦促其重啟設(shè)備。他表示，從技術(shù)角色來(lái)看，VPNFilter 不會(huì)向 FBI 發(fā)送受害者的瀏覽歷史或其它敏感數(shù)據(jù)。它的威脅能力純粹要求額外的 Payload。被感染的路由器目前沒(méi)有將數(shù)據(jù)泄露給 ToKnowAll[.]com。