點擊上方「CSDN」，選擇關注

關鍵時刻，第一時間送達！

據路透社、WIRED 等外媒報道，思科公司本周三發布安全預警稱，黑客利用惡意軟體，已感染了全球範圍內至少 50 萬台路由器和存儲設備。

作者 | 郭 芮

責編 | 唐小引

思科 Talos 安全部門認為，俄羅斯政府正是此次攻擊的幕後主謀，因為黑客所使用的軟體代碼，與俄羅斯政府之前發動網路攻擊所使用軟體的代碼相當一致。烏克蘭安全局也表示，此舉表明俄羅斯計劃在本周六的歐洲冠軍聯賽決賽開戰之前，對烏克蘭發動大規模網路攻擊，以破壞屆時的比賽局勢。

所以從受波及的範圍來看，這種名為 VPNFilter 的惡意軟體雖然已經遍布全球，但似乎仍是主要針對烏克蘭的機器。

全球 50 萬台設備受感染

自 2016 年以來，至少 54 個國家的感染狀況就一直在緩慢地增長，思科的研究人員已經持續性監測了數月。而且隨著歐冠賽的臨近，在過去三周就有兩次針對烏克蘭的重大網路攻擊事件。

思科 Talos 的研究人員表示，「我們估計受到感染的設備數量至少為 500,000 台。據不完全統計，受 VPNFilter 影響的已知設備有 Linksys、MikroTik、Netgear 和 TP-Link 網路設備，包括在小型和家庭辦公室（SOHO）以及 QNAP 網路附加存儲（NAS）等設備上。」

據報道，VPNFilter 是少數能夠在設備重啟後仍能存活的互聯網惡意軟體之一，可用於收集通信、發動攻擊，並能夠通過單一命令永久銷毀設備。此外，還能夠監聽流量並竊取網站證書，比如偵聽 Modbus SCADA 設備流量（用於工業控制器等場景）。該惡意軟體破壞性極強，攻擊者甚至可以遠程損壞或徹底斃掉受感染的設備。

「VPNFilter 是一種潛伏性極深的破壞性惡意軟體，它利用專門的命令和控制（C2）基礎設施，以驚人的速度主動感染了大量烏克蘭主機。」

不過目前，研究人員還沒有搞清楚它的具體感染方式是怎樣的，但 Talos 安全部門指出，所有受感染的設備都有可能被攻擊者重複利用。此外，Talos 還認為，這一攻擊模式明顯得利於俄羅斯政府的支持，目的就是為了創建一個多功能的、有效的殭屍網路來收集數據。

「特別注意的是，這種惡意軟體的代碼恰好與 BlackEnergy 惡意軟體的版本重疊——後者曾針對烏克蘭設備進行過多次大規模攻擊，包括 2016 年 12 月發生的一起襲擊導致烏克蘭停電。」Talos 補充道。

思科的報告並沒有明確指出俄羅斯的名字，但它確實顯示了 VPNFilter 包含一個涉及 RC4 加密密碼的功能，這與 BlackEnergy 中的加密密碼相同。然而，BlackEnergy 被質疑有可能是被其他攻擊組織利用了，因此它自身的代碼重疊並不能充分證明 VPNFilter 就是由俄羅斯政府主導的。

報告中也沒有提及更多的攻擊者歸屬信息，只是說明他們使用的 IP 地址為 46.151.209.33 以及域名為 .com 和 api.ipify.org。

VPNFilter 技術解讀

思科研究員 William Largent 表示，「經過評估，我們發現這種惡意軟體被用於創建了一個廣泛的、難以查詢歸屬的基礎設施，可用於滿足攻擊者的多種運營需求。」他還提到，由於受影響的設備由企業或個人合法擁有，因此受感染設備進行的惡意活動可能被錯誤地歸因。因為惡意軟體內置的各個插件功能非常靈活，可讓攻擊者以多種方式隨意利用設備。」

思科的報告稱，VPNFilter 附帶的嗅探器能夠收集數據信息，也能用來監控和採集流量。研究人員還表示，證據表明有些惡意軟體還包括永久禁用設備的命令，這種功能可以讓攻擊者輕易禁止全球數十萬人或重點地區的互聯網訪問，具體感染情況取決於特別的目標。「在大多數情況下，受害者無法恢復這類攻擊，這需要專有的技術或工具」，思科表示，「我們對這種能力深感憂慮，這也是我們過去幾個月一直悄悄研究該惡意軟體的一大原因。」

毫無疑問，開發 VPNFilter 的是一個高級開發組織。如下圖所示，該惡意軟體有三個不同程度的攻擊階段。

VPNFilter 攻擊的三個階段

階段一的攻擊基於 Busybox 和 Linux 的固件設備，並針對多種 CPU 架構進行編譯。主要目的是在互聯網上定位攻擊者控制的伺服器，以便深入第二階段。通過從 Photobucket.com 下載圖像並從存儲在 EXIF 欄位中的整數值（用於 GPS 經緯度）中提取 IP 地址來定位伺服器，如果 Photobucket 下載失敗，階段一將嘗試從 toknowall.com 下載圖像。

如果這兩種方式都失敗了，階段一將打開一個「偵聽器」，等待來自攻擊者的特定觸發數據包。監聽器從 api.ipify.org 中檢查其公共 IP 並將其存儲以供以後使用，而且即使受感染的設備重新啟動後，這一階段也無法跳過。

階段二負責收集命令執行文件，是數據泄露和設備管理的「主力情報收集平台」。階段二的某些情況下也具有自毀功能，通過覆蓋設備固件的關鍵部分重啟工作，該過程中設備依然不可用。思科研究人員認為，即使沒有內置的 kill 命令，攻擊者也可以使用階段二手動銷毀設備。

階段三至少包含兩個插件模塊：一種是用於收集流量的數據包嗅探器，你能夠攔截的流量包括網站憑證和 Modbus SCADA 協議；第二個模塊允許階段二通過 Tor 隱私服務進行通信。截至目前，階段三還未發現其他插件。

來自聯邦調查局的最新消息顯示，網路代理已經查獲了攻擊中使用的關鍵伺服器。這些代理稱，俄羅斯政府黑客使用 ToKnowAll.com 作為備份方法，將惡意軟體的第二階段發送給已經感染的路由器。

防禦建議

為了安全起見，Talos 建議家庭或小型辦公室路由器的所有者和管理員重置設備並恢復出廠默認設置，以清除潛在的惡意軟體。

安全部門也正在向少數受影響的供應商提供幫助，以幫助開發永久性的修復程序並將固件修補程序儘快發布給客戶。

本文編譯自：

• https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/
• http://www.theregister.co.uk/2018/05/23/vpnfilter_malware_menacing_routers_worldwide/
• https://www.wired.com/story/vpnfilter-router-malware-outbreak
• https://www.cnet.com/news/us-takes-aim-at-russian-hackers-who-infected-over-500000-routers/

徵稿啦！

CSDN 公眾號秉持著「與千萬技術人共成長」理念，不僅以「極客頭條」、「暢言」欄目在第一時間以技術人的獨特視角描述技術人關心的行業焦點事件，更有「技術頭條」專欄，深度解讀行業內的熱門技術與場景應用，讓所有的開發者緊跟技術潮流，保持警醒的技術嗅覺，對行業趨勢、技術有更為全面的認知。

如果你有優質的文章，或是行業熱點事件、技術趨勢的真知灼見，或是深度的應用實踐、場景方案等的新見解，歡迎聯繫 CSDN 投稿，聯繫方式：微信（guorui_1118），郵箱（guorui@csdn.net）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！