思科稱VPNFilter攻擊比預期更嚴重

思科Talos威脅研究人員表示，VPNFilter攻擊背後的俄羅斯黑客正在瞄準更多供應商的網路設備，包括來自華碩，D-Link，華為，Ubiquiti，UPVEL和中興通訊的網路設備。惡意軟體也比原先想像的更危險。 Talos研究人員在VPNFilter的更新中寫道，一個新發現的模塊可以讓攻擊者越過路由並進入受害者的網路。

5月下旬，研究人員首次披露了有關惡意軟體的細節。它在全球範圍內感染了至少50萬個路由器和存儲設備。受到影響的設備包括Linksys，MikroTik，NETGEAR和TP-Link路由器以及QNAP網路附加存儲（NAS）。

APT28是一家由俄羅斯贊助的黑客組織，也被稱為Fancy Bear，其惡意軟體攻擊了包括美國在內的54個國家。 Fancy Bear是2016年美國總統競選期間負責黑客事件的兩個俄羅斯團隊之一。

在Talos因惡意軟體威脅而公開後不久，FBI接到了法院的命令抓住屬於VPNFilter惡意軟體命令和控制基礎設施的部分域名。這實質上是將惡意軟體的攻擊重定向到FBI控制的伺服器。

本周安全分析師表示，這次襲擊比他們原先意識到的要糟糕。 Talos表示，目前研究顯示，思科路由器沒有受到影響。Symantec安全響應小組發布了受影響設備的完整列表。

該惡意軟體的工作分為三個階段，新的第三階段模塊是在網路流量通過網路設備時向其注入惡意內容。

根據Talos博客的說法，新的第三階段模塊「允許攻擊者通過中間人功能向終端進行攻擊（例如，他們可以在用戶不知情的情況下攔截網路流量並在向其注入惡意代碼）。有了這個新發現，我們可以確認威脅超出了攻擊者在網路設備本身執行操作的範疇，並將威脅擴展到受到破壞的網路設備所支持的網路中。」

除了使黑客能夠監聽網路流量並執行攻擊之外，該功能還允許惡意軟體將HTTPS請求更改為HTTP請求，「這意味著加密的數據不能夠安全地發送」，Symantec表示。 「這可以用來從受害者網路獲取證書以及其他敏感信息。」

這並不意味著惡意軟體能夠成功利用端點，Juniper在另一篇博客中指出。 「這僅僅意味著，在用戶訪問受損網站、點擊惡意鏈接或打開惡意電子郵件附件的情況下，可以嘗試利用這一漏洞。」思科，Juniper和Symantec都是威脅情報共享組織Cyber Threat Alliance的成員。

另外，第三階段模塊還能夠從設備上刪除所有的VPNFilter痕迹，並且實際上阻斷了路由器，使其無法使用。

來源：SDNLAB

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！