俄羅斯黑客、烏克蘭「歐洲杯」和 FBI：50 萬台設備被感染後的秘密

惡意軟體感染路由器等設備造就一個巨大的殭屍網路，這件事情在美國東部大斷網後已經不稀奇了。

但是，最近有個惡意軟體感染了 50 萬台設備後，FBI 介入了，原來這事還涉及到俄羅斯和烏克蘭。殭屍網路、惡意軟體、黑客、政治……這些詞交叉起來，可能就是一個精彩的故事了。

起因是這樣的……

烏克蘭：黑客攻擊重災區

美國時間 5 月 23 日，思科公司的安全研究員宣布：我們發現了一個巨大的殭屍網路，這個殭屍網路看上去好像要攻擊烏克蘭！

說起烏克蘭這個國家，還真是被黑客攻擊的重災區。

比如，雷鋒網曾報道過，2015 年 12 月 23 日，烏克蘭首都基輔部分地區和烏克蘭西部的 140 萬名居民突然遭遇了一次大停電，這次停電的罪魁禍首是黑客。沒想到，時隔一年，2016 年 12 月 17 日，烏克蘭的國家電力部門又遭遇了一次黑客襲擊，停電了 30 分鐘，這一次，安全公司直指俄羅斯黑客利用惡意軟體「潛伏」在了烏克蘭軍隊。

後來，2017 年勒索病毒肆虐時，英國、烏克蘭、俄羅斯等都受到了不同程度的影響，烏克蘭的政府又苦兮兮地出來刷了波存在感——當時烏克蘭副總理羅岑科·帕夫洛稱職表示，他和烏克蘭政府的其他成員無法使用電腦了，電腦被「同一界面鎖住了」……

對於前兩起事件，烏克蘭都怪上了俄羅斯黑客。

鑒於此，美國大哥出手了。

E 安全一則今年 5 月的新聞報道稱，美、烏兩國 2017 年 9 月曾在基輔（烏克蘭首都）進行了首次雙邊網路安全對話，美國宣布提供 500 萬美元網路安全援助，旨在「加強烏克蘭預防、緩解及應對網路攻擊活動的能力」。

隨後，美國國務院計劃將 2017 年向烏克蘭承諾的網路防禦援助增加一倍，即 1000 萬美元，旨在增強各盟友抵禦俄羅斯黑客攻擊活動的能力。

又怪俄羅斯

那麼，這件事和今天要說的這一起殭屍網路案又有什麼關係？

按照思科 Talos 團隊的解釋，這次殭屍網路的「兇器」是一款名為「VPNFilter」的最新惡意軟體，預估有 54 個國家遭入侵，受感染設備的數量至少為 50 萬台。

該團隊研究分析結果顯示， VPNFilter 破壞性較強，可通過燒壞用戶的設備來掩蓋蹤跡，比簡單地刪除惡意軟體痕迹更深入。利用 VPNFilter 惡意軟體，攻擊者還可以達到多種其他目的，如監視網路流量並攔截敏感網路的憑證；窺探到 SCADA （數據採集與監視控制系統）設備的網路流量，並部署針對 ICS 基礎設施的專用惡意軟體；利用被感染設備組成的殭屍網路來隱藏其他惡意攻擊的來源；導致路由器癱瘓並使受攻擊的大部分互聯網基礎設施無法使用。

如果需要的話，類似命令可大規模執行，可導致成千上萬的設備無法使用，比如現在被發現感染的設備就已經超 50 萬台了。

Talos 團隊認為，俄羅斯是此次攻擊的幕後主謀，烏克蘭是最主要的受害者。

原因有二：

1.「VPNFilter」惡意軟體的代碼與 BlackEnergy 惡意軟體的代碼相同，而 BlackEnergy 曾多次對烏克蘭發起大規模攻擊。

2.VPNFilter 利用各國的命令和控制（C2）基礎設施，過去幾周，殭屍網路的創建者一直致力於感染烏克蘭的路由器和物聯網設備，甚至創建了一個專門的命令控制伺服器來管理這些烏克蘭機器人。

思科說，目前還不清楚這個殭屍網路的目的是什麼，但是他們擔心，一個新的攻擊可能很快就會到來。最有可能的目標是 5 月 26 日星期六，也就是今年將在烏克蘭首都基輔舉行的歐洲冠軍杯決賽。另一個可能的日期是 6 月 27 日烏克蘭憲法日，也就是去年的 NotPetya 實施網路攻擊的日子。

這麼緊張的情況下，美國大哥又出手了。

5 月 24 日據外媒報道，美國政府本周三表示，他們將解救被黑客入侵併控制的數十萬受感染的路由及存儲設備。隨後，美國聯邦調查局 （FBI）獲得了法院命令，控制了這些殭屍設備背後的伺服器。外媒 bleepingcomputer 報道，烏克蘭特勤局進一步確定，這次襲擊應該發生在周六。

FBI 在調查過程中，又證實了「罪魁禍首」——這個殭屍網路由俄羅斯一個著名黑客間諜組織控制，它最常見的名字為 APT28，美國安全公司火眼曾稱，這個黑客組織獲得了俄羅斯政府的支持，這個結論得到了愛沙尼亞外國情報局的蓋章。

除了涉及政治，大家緊張兮兮地原因還在於，VPNFilter 瞄準的設備類型為網路設備和存儲設備，一般很難防禦，這些設備經常出現在網路外圍，沒有入侵保護系統（IPS），也通常沒有可用的基於主機的防護系統，如反病毒（AV）包，而且大多數的類似目標設備，特別是運行舊版本的，都有公開的漏洞或默認口令，這使得攻擊相對簡單。

VPNFilter 屬於高度模塊化的框架，允許快速更改操作目標設備，同時能為情報收集和尋找攻擊平台提供支撐。它實施攻擊的路徑主要分為三個階段：

第 1 階段，惡意軟體會通過重新啟動植入，該階段主要目的是獲得一個持久化存在的立足點，並使第 2 階段的惡意軟體得以部署。

第 2 階段，惡意軟體擁有智能收集平台中所期望的功能，比如文件收集、命令執行、數據過濾和設備管理，某些版本也具有自毀功能，覆蓋了設備固件的關鍵部分，並可重新引導設備，使其無法使用。

此外，還有多個階段 3 的模塊作為第 2 階段惡意軟體的插件，提供附加功能。

當前，思科 Talos 團隊已發現了兩個插件模塊：一個數據包嗅探器來收集通過該設備的流量，包括盜竊網站憑證和監控 Modbus SCADA 協議，以及允許第 2 階段與 Tor 通信的通信模塊，據稱仍然有其他幾個插件模塊但當前還沒有發現。

安全專家認為， VPFilter 殭屍網路極其危險，一是這可能是一個國家級的攻擊行為，二是它攔截網路流量，搜索 SCADA 設備，以及能讓設備變磚。而且，按照他們的判斷，「弱雞的」普通群眾毫無還手之力。

這也是在思科發布報告的幾個小時後，FBI 立即出動，控制了該殭屍網路背後域名 toknowall.com 的原因。同時，FBI 現在宣告，各地擁有受影響路由器和 NAS 設備的用戶趕緊重置自己的設備，這樣做的目的是，重新連接伺服器，好讓「我們知道這個殭屍網路現在到底被養得多肥了」！

友情附贈容易受到該惡意軟體攻擊的設備清單：

雷鋒網本文參考來源：bleepingcomputer、E安全等，另感謝阿里安全獵戶座實驗室提供了部分資料。

歡迎關注雷鋒網旗下微信公眾號「宅客頻道」，獲取更多網路安全信息。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！