导读:受到感染的设备数量至少为 500,000 台,受影响的已知设备有 Linksys、MikroTik、Netgear 和 TP-Link 网络设备,包括在小型和家庭办公室(SOHO)以及 QNAP 网络附加存储(NAS)等设备。
据路透社、WIRED 等外媒报道,思科公司本周三发布安全预警称,黑客利用恶意软件,已感染了全球范围内至少 50 万台路由器和存储设备。
思科 Talos 安全部门认为,俄罗斯政府正是此次攻击的幕后主谋,因为黑客所使用的软件代码,与俄罗斯政府之前发动网络攻击所使用软件的代码相当一致。乌克兰安全局也表示,此举表明俄罗斯计划在本周六的欧洲冠军联赛决赛开战之前,对乌克兰发动大规模网络攻击,以破坏届时的比赛局势。
所以从受波及的范围来看,这种名为 VPNFilter 的恶意软件虽然已经遍布全球,但似乎仍是主要针对乌克兰的机器。
全球 50 万台设备受感染
自 2016 年以来,至少 54 个国家的感染状况就一直在缓慢地增长,思科的研究人员已经持续性监测了数月。而且随着欧冠赛的临近,在过去三周就有两次针对乌克兰的重大网络攻击事件。
思科 Talos 的研究人员表示,“我们估计受到感染的设备数量至少为 500,000 台。据不完全统计,受 VPNFilter 影响的已知设备有 Linksys、MikroTik、Netgear 和 TP-Link 网络设备,包括在小型和家庭办公室(SOHO)以及 QNAP 网络附加存储(NAS)等设备上。”
据报道,VPNFilter 是少数能够在设备重启后仍能存活的互联网恶意软件之一,可用于收集通信、发动攻击,并能够通过单一命令永久销毁设备。此外,还能够监听流量并窃取网站证书,比如侦听 Modbus SCADA 设备流量(用于工业控制器等场景)。该恶意软件破坏性极强,攻击者甚至可以远程损坏或彻底毙掉受感染的设备。
“VPNFilter 是一种潜伏性极深的破坏性恶意软件,它利用专门的命令和控制(C2)基础设施,以惊人的速度主动感染了大量乌克兰主机。”
不过目前,研究人员还没有搞清楚它的具体感染方式是怎样的,但 Talos 安全部门指出,所有受感染的设备都有可能被攻击者重复利用。此外,Talos 还认为,这一攻击模式明显得利于俄罗斯政府的支持,目的就是为了创建一个多功能的、有效的僵尸网络来收集数据。
“特别注意的是,这种恶意软件的代码恰好与 BlackEnergy 恶意软件的版本重叠——后者曾针对乌克兰设备进行过多次大规模攻击,包括 2016 年 12 月发生的一起袭击导致乌克兰停电。”Talos 补充道。
思科的报告并没有明确指出俄罗斯的名字,但它确实显示了 VPNFilter 包含一个涉及 RC4 加密密码的功能,这与 BlackEnergy 中的加密密码相同。然而,BlackEnergy 被质疑有可能是被其他攻击组织利用了,因此它自身的代码重叠并不能充分证明 VPNFilter 就是由俄罗斯政府主导的。
报告中也没有提及更多的攻击者归属信息,只是说明他们使用的 IP 地址为 46.151.209.33 以及域名为 .com 和 api.ipify.org。
VPNFilter 技术解读
思科研究员 William Largent 表示,“经过评估,我们发现这种恶意软件被用于创建了一个广泛的、难以查询归属的基础设施,可用于满足攻击者的多种运营需求。”他还提到,由于受影响的设备由企业或个人合法拥有,因此受感染设备进行的恶意活动可能被错误地归因。因为恶意软件内置的各个插件功能非常灵活,可让攻击者以多种方式随意利用设备。”
思科的报告称,VPNFilter 附带的嗅探器能够收集数据信息,也能用来监控和采集流量。研究人员还表示,证据表明有些恶意软件还包括永久禁用设备的命令,这种功能可以让攻击者轻易禁止全球数十万人或重点地区的互联网访问,具体感染情况取决于特别的目标。“在大多数情况下,受害者无法恢复这类攻击,这需要专有的技术或工具”,思科表示,“我们对这种能力深感忧虑,这也是我们过去几个月一直悄悄研究该恶意软件的一大原因。”
毫无疑问,开发 VPNFilter 的是一个高级开发组织。如下图所示,该恶意软件有三个不同程度的攻击阶段。
VPNFilter 攻击的三个阶段
阶段一的攻击基于 Busybox 和 Linux 的固件设备,并针对多种 CPU 架构进行编译。主要目的是在互联网上定位攻击者控制的服务器,以便深入第二阶段。通过从 Photobucket.com 下载图像并从存储在 EXIF 字段中的整数值(用于 GPS 经纬度)中提取 IP 地址来定位服务器,如果 Photobucket 下载失败,阶段一将尝试从 toknowall.com 下载图像。
如果这两种方式都失败了,阶段一将打开一个“侦听器”,等待来自攻击者的特定触发数据包。监听器从 api.ipify.org 中检查其公共 IP 并将其存储以供以后使用,而且即使受感染的设备重新启动后,这一阶段也无法跳过。
阶段二负责收集命令执行文件,是数据泄露和设备管理的“主力情报收集平台”。阶段二的某些情况下也具有自毁功能,通过覆盖设备固件的关键部分重启工作,该过程中设备依然不可用。思科研究人员认为,即使没有内置的 kill 命令,攻击者也可以使用阶段二手动销毁设备。
阶段三至少包含两个插件模块:一种是用于收集流量的数据包嗅探器,你能够拦截的流量包括网站凭证和 Modbus SCADA 协议;第二个模块允许阶段二通过 Tor 隐私服务进行通信。截至目前,阶段三还未发现其他插件。
来自联邦调查局的最新消息显示,网络代理已经查获了攻击中使用的关键服务器。这些代理称,俄罗斯政府黑客使用 ToKnowAll.com 作为备份方法,将恶意软件的第二阶段发送给已经感染的路由器。
防御建议
为了安全起见,Talos 建议家庭或小型办公室路由器的所有者和管理员重置设备并恢复出厂默认设置,以清除潜在的恶意软件。
安全部门也正在向少数受影响的供应商提供帮助,以帮助开发永久性的修复程序并将固件修补程序尽快发布给客户。 (本文来源于CSDN,作者郭芮,IT大佬已获得作者授权、经IT大佬编辑发布,文中观点为作者观点、不代表IT大佬观点。)
本文编译自:
https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/
http://www.theregister.co.uk/2018/05/23/vpnfilter_malware_menacing_routers_worldwide/
https://www.wired.com/story/vpnfilter-router-malware-outbreak
https://www.cnet.com/news/us-takes-aim-at-russian-hackers-who-infected-over-500000-routers
閱讀更多 IT大佬 的文章