美國聯邦調查局和安全專家建議對普通家庭和公司互聯網路由器,以及網絡附加存儲設備進行重啟,防止受到惡意軟件VPNFilter的攻擊。思科泰羅斯情報集團估計,上週五共有超過50個國家的50萬臺用戶路由器設備受到攻擊,這些路由器品牌分別為Linksys,Mikrotik,Netgear,QNAP和TP-Link。
美國聯邦調查局警告稱:“眾多路由器生產廠商的路由器設備受到了這款惡意軟件的攻擊,並且有最少一個生產網絡附加存儲設備的生產廠商遭到了軟件攻擊。”他們還警告稱“VPNFilter能夠讓小型和家庭辦公室的路由器更改為無法操作狀態。這款惡意軟件能夠通過路由器,偷偷地收集用戶數據和信息。由於這一軟件使用的是加密和殭屍網絡,所以對於該惡意軟件網絡活動的監測和分析會很棘手。”
美國聯邦調查局還提醒說:“有路由器設備的任何小型和家庭辦公室都要重新啟動設備,來暫時阻止惡意軟件的攻擊,避免已受感染的設備被識別。路由器用戶也應該考慮禁用設備的遠程管理設置,並且在重新啟用的時候使用安全強度高的密碼和加密方式。網絡設備的固件也應該升級到最新可用版本。”
這款名為VPNFilter的惡意軟件可和黑客組織Sofacy Group(別名:A.P.T. 28,Fancy Bear和Pawn Storm)相聯繫。也有人認為這是俄羅斯的軍事情報局所管理的一個組織。報告稱這個黑客組織和在2016年總統選舉前攻擊民主黨全國委員會的是同一個組織。
ArsTechnica.com網站上的一篇文章對此進行了詳細的報道。美國聯邦調查局抓取了VPNFilter所使用的一個備用網絡域,在設備遭到了第1階段的攻擊之後,軟件會對設備進行接下來階段的攻擊。對這一網絡域抓取意味著發起第2和第3階段的主次要攻擊方式被阻止,最終只剩下第三個備用攻擊階段,這一攻擊階段依賴的是黑客向每個受感染設備發送特殊的數據包。
發起接下來攻擊階段的冗餘機制解決了VPNFilter的一個最基本的漏洞——在設備重啟後,第2和第3階段的攻擊就會失效,這就意味著只要對設備進行重啟,這些階段的攻擊就會被清除,只有第1階段處於正常狀態。我們可以推測,一旦對受感染的設備進行重啟,階段1就會觸發近期所抓取的ToKnowAll.com地址。美國聯邦調查局的對小型和家庭辦公室路由器進行重啟的建議,則是利用了該軟件的這一缺陷。
司法部門官員在星期五的時候寫道:應該儘可能地對遭到感染的小型和家庭辦公室和網絡附加存儲設備進行重啟,這能夠暫時阻止第2階段的軟件攻擊以及阻止喚醒第1階段的攻擊。雖然設備在連接上互聯網後還是會很容易地受到軟件第2階段的攻擊,但是這些做法能夠在這一黑客組織意識到其命令和控制基礎架構的漏洞之前,最大限度地識別和緩解世界範圍內受到感染的情況。
對設備重啟的目的在於:
1.暫時阻止受感染的設備運行收集用戶數據的階段,以及防止軟件對設備進行進一步的攻擊;
2.幫助美國聯邦調查局追蹤受到影響的設備。
司法部門在星期五的發言中表示,美國聯邦調查局正和非盈利組織Shadow Foundation通力合作,將受到感染設備的IP地址發送給互聯網服務供應商和國外的權威機構,從而提醒目標用戶。
權威機構和調查人員仍然不確定這些設備最初是如何受到感染的。他們懷疑,黑客或許是發現了設備的已知漏洞,以及利用了用戶沒有對設備固件進行升級或者更改默認密碼的這一侷限。這一不確定性也就促使了美國聯邦調查局在發言中呼籲對所有的路由器和網絡附加存儲設備進行重啟,而不僅僅是建議對已受VPNFilter攻擊的14個型號的路由器設備進行重啟。
防止路由器設備被VPNFilter追蹤的一個最有效的方法是對路由器進行恢復出廠設置,這一做法會永久地刪除惡意軟件,包括阻止第1階段的攻擊。對路由器設備恢復出廠設置的方法是用一個回形針或者圖釘長按設備後面的按鈕5秒鐘。這一重置會清除路由器設備上的所有配置設置,因此用戶需要在設備重啟後,重新導入這些設置。
對路由器和網絡附加存儲設備易受惡意軟件感染的最新報告強調,我們現在生活在萬物互聯的環境中,這不僅會帶來新的機遇,也會帶來一些風險。我們必須保證所有連接設備的安全,從而保護我們的個人隱私。
編譯信軟網
閱讀更多 信軟網 的文章
