北京時間 5 月 23 日晚,思科公司發佈安全預警稱,俄羅斯黑客利用惡意軟件,已感染幾十個國家的至少50萬臺路由器和存儲設備。攻擊中使用了高級模塊化惡意軟件系統“VPNFilter”,這是思科 Talos 團隊與多個部門以及執法機構一直追蹤研究的惡意軟件。儘管目前研究尚未完成,但思科決定提前公佈結果,以便受害者及潛在受害者及時防禦與響應。
結合該惡意軟件近期的活動,Talos 團隊認為俄羅斯是此次攻擊的幕後主謀,因為“VPNFilter”惡意軟件的代碼與 BlackEnergy 惡意軟件的代碼相同,而 BlackEnergy 曾多次對烏克蘭發起大規模攻擊。思科發佈的分析報告表明,VPNFilter 利用各國的命令和控制(C2)基礎設施,以驚人的速度主動感染烏克蘭境內及多個國家主機。預估至少有 54 個國家遭入侵,受感染設備的數量至少為 50 萬臺。受影響的設備主要有小型和家庭辦公室(SOHO)中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 網絡附加存儲(NAS)設備。暫時尚未發現其他網絡設備供應商受感染。
受感染的設備詳情:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
雲核心路由器中的 Mikrotik RouterOS:1016、1036 和 1072 版本
NETGEAR DGN2200
NETGEAR R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
NETGEAR WNR2000
QNAP TS251
QNAP TS439 Pro
其他運行 QTS 軟件的 QNAP NAS 設備
TP-Link R600VPN
簡要技術分析
VPNFilter 惡意軟件是一個模塊化平臺,具有多種功能,支持情報收集並可破壞網絡,主要分為三個階段發起攻擊。
與其他針對物聯網設備的惡意軟件不同,第 1 階段的惡意軟件在設備重新啟動後依然存在。階段 1 的主要目的是獲得持久的立足點,並部署第 2 階段的惡意軟件。階段 1 利用多個冗餘命令和 C2 機制去尋找階段 2 部署服務器的 IP 地址。第 2 階段的惡意軟件主要用於情報收集(文件收集、命令執行、數據洩露和設備管理等)。這一階段部分版本可以自動損毀,覆蓋設備固件的關鍵部分並重新啟動設備,導致設備無法使用。第二階段的模塊主要是支持第 3 階段的插件,第 3 階段插件可以監聽網絡數據包並攔截流量;監視 Modbus SCADA 協議並通過 Tor 網絡與 C&C 服務器通信。
利用 VPNFilter 惡意軟件,攻擊者可以達到多種目的:
監視網絡流量並攔截敏感網絡的憑證;
窺探到 SCADA 設備的網絡流量,並部署針對 ICS 基礎設施的專用惡意軟件;
利用被感染設備組成的殭屍網絡來隱藏其他惡意攻擊的來源;
導致路由器癱瘓並使烏克蘭的大部分互聯網基礎設施無法使用
此次攻擊的目標設備大多位於網絡周界,無法利用入侵保護系統(IPS)或 AV 軟件包等有效的基於主機的防護系統進行保護。目前還不清楚惡意軟件利用了哪些漏洞,不過可以確定的是被入侵的設備大多都比較舊,存在已經公開的漏洞或可被利用的證書,因此攻擊者很容易利用漏洞進行入侵。
攻擊疑似瞄準烏克蘭
去年,在烏克蘭憲法日前夕,NotPetya 攻擊席捲全球,最後被美國定性為來自俄羅斯的攻擊。Talos 團隊認為,此次攻擊中,烏克蘭境內路由器和存儲設備受損嚴重,這可能預示著俄羅斯正在為新一輪網絡攻擊做準備。因為歐洲冠軍聯賽將於本週六(5月26日)在烏克蘭首都基輔開戰,且再過幾個星期(6月27日),烏克蘭將要慶祝其憲法日,這是絕佳的攻擊時機。
Talos 團隊在報告中對 “VPNFilter”進行了詳細的技術分析、探討了幕後攻擊者的策略,同時也給出了一些防禦和響應對策:
1. 如果已經感染惡意軟件,那麼將路由器恢復出廠默認設置,以便刪除可能具有破壞性的惡意軟件,並儘快更新設備的固件;
2. 對智能物聯網設備的安全性保持警惕。為防止遭受這種惡意軟件攻擊,最好更改設備的默認憑證;
3. 如果路由器易受攻擊且無法更新,最好直接丟棄併購買新的路由器,因為個人安全和隱私不比路由器貴重得多;
4. 注意為路由器設置防火牆,關閉遠程管理功能。
報告詳情可點擊此處查看。
閱讀更多 網絡安全晴雨表 的文章
