惡意軟件感染路由器等設備造就一個巨大的殭屍網絡,這件事情在美國東部大斷網後已經不稀奇了。
但是,最近有個惡意軟件感染了 50 萬臺設備後,FBI 介入了,原來這事還涉及到俄羅斯和烏克蘭。殭屍網絡、惡意軟件、黑客、政治……這些詞交叉起來,可能就是一個精彩的故事了。
起因是這樣的……
烏克蘭:黑客攻擊重災區
美國時間 5 月 23 日,思科公司的安全研究員宣佈:我們發現了一個巨大的殭屍網絡,這個殭屍網絡看上去好像要攻擊烏克蘭!
說起烏克蘭這個國家,還真是被黑客攻擊的重災區。
比如,雷鋒網曾報道過,2015 年 12 月 23 日,烏克蘭首都基輔部分地區和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電,這次停電的罪魁禍首是黑客。沒想到,時隔一年,2016 年 12 月 17 日,烏克蘭的國家電力部門又遭遇了一次黑客襲擊,停電了 30 分鐘,這一次,安全公司直指俄羅斯黑客利用惡意軟件“潛伏”在了烏克蘭軍隊。
後來,2017 年勒索病毒肆虐時,英國、烏克蘭、俄羅斯等都受到了不同程度的影響,烏克蘭的政府又苦兮兮地出來刷了波存在感——當時烏克蘭副總理羅岑科·帕夫洛稱職表示,他和烏克蘭政府的其他成員無法使用電腦了,電腦被“同一界面鎖住了”……
對於前兩起事件,烏克蘭都怪上了俄羅斯黑客。
鑑於此,美國大哥出手了。
E 安全一則今年 5 月的新聞報道稱,美、烏兩國 2017 年 9 月曾在基輔(烏克蘭首都)進行了首次雙邊網絡安全對話,美國宣佈提供 500 萬美元網絡安全援助,旨在“加強烏克蘭預防、緩解及應對網絡攻擊活動的能力”。
隨後,美國國務院計劃將 2017 年向烏克蘭承諾的網絡防禦援助增加一倍,即 1000 萬美元,旨在增強各盟友抵禦俄羅斯黑客攻擊活動的能力。
又怪俄羅斯
那麼,這件事和今天要說的這一起殭屍網絡案又有什麼關係?
按照思科 Talos 團隊的解釋,這次殭屍網絡的“兇器”是一款名為“VPNFilter”的最新惡意軟件,預估有 54 個國家遭入侵,受感染設備的數量至少為 50 萬臺。
該團隊研究分析結果顯示, VPNFilter 破壞性較強,可通過燒壞用戶的設備來掩蓋蹤跡,比簡單地刪除惡意軟件痕跡更深入。利用 VPNFilter 惡意軟件,攻擊者還可以達到多種其他目的,如監視網絡流量並攔截敏感網絡的憑證;窺探到 SCADA (數據採集與監視控制系統)設備的網絡流量,並部署針對 ICS 基礎設施的專用惡意軟件;利用被感染設備組成的殭屍網絡來隱藏其他惡意攻擊的來源;導致路由器癱瘓並使受攻擊的大部分互聯網基礎設施無法使用。
如果需要的話,類似命令可大規模執行,可導致成千上萬的設備無法使用,比如現在被發現感染的設備就已經超 50 萬臺了。
Talos 團隊認為,俄羅斯是此次攻擊的幕後主謀,烏克蘭是最主要的受害者。
原因有二:
1.“VPNFilter”惡意軟件的代碼與 BlackEnergy 惡意軟件的代碼相同,而 BlackEnergy 曾多次對烏克蘭發起大規模攻擊。
2.VPNFilter 利用各國的命令和控制(C2)基礎設施,過去幾周,殭屍網絡的創建者一直致力於感染烏克蘭的路由器和物聯網設備,甚至創建了一個專門的命令控制服務器來管理這些烏克蘭機器人。
思科說,目前還不清楚這個殭屍網絡的目的是什麼,但是他們擔心,一個新的攻擊可能很快就會到來。最有可能的目標是 5 月 26 日星期六,也就是今年將在烏克蘭首都基輔舉行的歐洲冠軍盃決賽。 另一個可能的日期是 6 月 27 日烏克蘭憲法日,也就是去年的 NotPetya 實施網絡攻擊的日子。
這麼緊張的情況下,美國大哥又出手了。
5 月 24 日據外媒報道,美國政府本週三表示,他們將解救被黑客入侵併控制的數十萬受感染的路由及存儲設備。隨後,美國聯邦調查局 (FBI)獲得了法院命令,控制了這些殭屍設備背後的服務器。外媒 bleepingcomputer 報道,烏克蘭特勤局進一步確定,這次襲擊應該發生在週六。
FBI 在調查過程中,又證實了“罪魁禍首”——這個殭屍網絡由俄羅斯一個著名黑客間諜組織控制,它最常見的名字為 APT28,美國安全公司火眼曾稱,這個黑客組織獲得了俄羅斯政府的支持,這個結論得到了愛沙尼亞外國情報局的蓋章。
週六前的搶救
除了涉及政治,大家緊張兮兮地原因還在於,VPNFilter 瞄準的設備類型為網絡設備和存儲設備,一般很難防禦,這些設備經常出現在網絡外圍,沒有入侵保護系統(IPS),也通常沒有可用的基於主機的防護系統,如反病毒(AV)包,而且大多數的類似目標設備,特別是運行舊版本的,都有公開的漏洞或默認口令,這使得攻擊相對簡單。
VPNFilter 屬於高度模塊化的框架,允許快速更改操作目標設備,同時能為情報收集和尋找攻擊平臺提供支撐。它實施攻擊的路徑主要分為三個階段:
第 1 階段,惡意軟件會通過重新啟動植入,該階段主要目的是獲得一個持久化存在的立足點,並使第 2 階段的惡意軟件得以部署。
第 2 階段,惡意軟件擁有智能收集平臺中所期望的功能,比如文件收集、命令執行、數據過濾和設備管理,某些版本也具有自毀功能,覆蓋了設備固件的關鍵部分,並可重新引導設備,使其無法使用。
此外,還有多個階段 3 的模塊作為第 2 階段惡意軟件的插件,提供附加功能。
當前,思科 Talos 團隊已發現了兩個插件模塊:一個數據包嗅探器來收集通過該設備的流量,包括盜竊網站憑證和監控 Modbus SCADA 協議,以及允許第 2 階段與 Tor 通信的通信模塊,據稱仍然有其他幾個插件模塊但當前還沒有發現。
安全專家認為, VPFilter 殭屍網絡極其危險,一是這可能是一個國家級的攻擊行為,二是它攔截網絡流量,搜索 SCADA 設備,以及能讓設備變磚。而且,按照他們的判斷,“弱雞的”普通群眾毫無還手之力。
這也是在思科發佈報告的幾個小時後,FBI 立即出動,控制了該殭屍網絡背後域名 toknowall.com 的原因。同時,FBI 現在宣告,各地擁有受影響路由器和 NAS 設備的用戶趕緊重置自己的設備,這樣做的目的是,重新連接服務器,好讓“我們知道這個殭屍網絡現在到底被養得多肥了”!
友情附贈容易受到該惡意軟件攻擊的設備清單:
本文參考來源:bleepingcomputer、E安全等,另感謝阿里安全獵戶座實驗室提供了部分資料。
閱讀更多 宅客 的文章
