美國聯邦調查局(FBI)警告稱,一種新的惡意軟件已經迅速感染了50多萬網絡設備。為了阻止惡意軟件的傳播,FBI和安全公司正在敦促美國國內互聯網用戶重新啟動路由器。思科公司的研究人員稱,這款惡意軟件被稱為VPNFilter,知名路由器品牌如Linksys、MikroTik、NETGEAR和TP-Link都被鎖定。
目前已知惡意軟件VPNFilter會造成兩種破壞:盜取網站的證書;發佈一個自毀命令使得網絡設備無法使用。思科的研究人員說,還不確定這50多萬臺設備是如何被VPNFilter感染的,但大多數的目標設備都有公開的漏洞可以被入侵。上週,美國司法部表示,VPNFilter是俄羅斯黑客組織APT28製造的。2016年美國總統大選期間,這一組織被指控操縱選舉。2017年1月,FireEye公司的威脅情報報告《APT28: At The Center for The Storm(APT28:位於風暴中心)》中認定著名的APT28組織就是俄羅斯政府支持的黑客組織,摻和的事件包括了敘利亞衝突、北約-烏克蘭相關事件、歐盟難民與移民危機,2016奧林匹克運動會、殘奧會俄羅斯運動會的興奮劑醜聞、2016年美國總統大選等等。報告中寫道APT28的網絡活也傾向於支持各種所謂的“信息戰”,用於干涉國外內政,比如說打著其他黑客角色的虛假旗號來搞網站破壞和數據竊取,這些活動的目的無一例外都是對俄羅斯的“政治輸出”產生利益。
FBI在網絡犯罪投訴中心網站發佈警告說:“這一惡意軟件已經對54個國家的家用及辦公室網路的路由器造成影響。”根據思科的數據,被感染的設備型號如下:Linksys E1200、Linksys E2500、Linksys WRVS4400N、Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072、Netgear DGN2200、Netgear R6400、Netgear R7000、Netgear R8000、Netgear WNR1000、Netgear WNR2000、QNAP TS251、QNAP TS439 Pro、其它運行QTS軟件的QNAP NAS 設備、TP-Link R600VPN。網件、Linksys等公司建議用戶確保路由產品已經升級到最新的固件版本來抵禦此次網絡攻擊。
2018年5月23日美國政府表示,將尋求出手解救被黑客入侵併控制的數十萬受感染的路由及存儲設備。持有法院命令的FBI特工已控制了該殭屍網絡一臺重要的服務器,發現了該殭屍網絡的受害者,並重挫了該殭屍網絡再次感染目標的能力。FBI 已經識別出這款惡意軟件的一個關鍵弱點:如果受害者重啟被感染的路由器,惡意插件就會全部消失,只有這款惡意軟件的核心代碼存活下來。在重置設備之後,需要使用Web瀏覽器登錄到它的管理頁面。大多數商用路由器的管理頁面可以通過鍵入192.168.1.1或192.168.0.1來訪問Web瀏覽器地址欄。如果這兩項工作都沒有,試著在路由器製造商的網站上查找文檔。重置路由器後,加密連接,WPA2是大多數現代路由器中最強大的加密技術,其次是WPA和WEP(後者對於開放源碼工具來說是相當簡單的,所以不要使用它,除非它是你唯一的選擇)。
閱讀更多 諜魂 的文章
