网络安全 频道

VPNFilter大规模来袭 50万台路由器被感染

  近期,思科公司发布安全预警称,俄罗斯黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。攻击中使用了高级模块化恶意软件系统“VPNFilter”,这是思科 Talos 团队与多个部门以及执法机构一直追踪研究的恶意软件。尽管目前研究尚未完成,但思科决定提前公布结果,以便受害者及潜在受害者及时防御与响应。

VPNFilter大规模来袭 50万路由器被感染

  结合该恶意软件近期的活动,Talos 团队认为俄罗斯是此次攻击的幕后主谋,因为“VPNFilter”恶意软件的代码与 BlackEnergy 恶意软件的代码相同,而 BlackEnergy 曾多次对乌克兰发起大规模攻击。思科发布的分析报告表明,VPNFilter 利用各国的命令和控制(C2)基础设施,以惊人的速度主动感染乌克兰境内及多个国家主机。预估至少有 54 个国家遭入侵,受感染设备的数量至少为 50 万台。受影响的设备主要有小型和家庭办公室(SOHO)中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 网络附加存储(NAS)设备。暂时尚未发现其他网络设备供应商受感染。

  受感染的设备详情:

  Linksys E1200

  Linksys E2500

  Linksys WRVS4400N

  云核心路由器中的 Mikrotik RouterOS:1016、1036 和 1072 版本

  NETGEAR DGN2200

  NETGEAR R6400

  Netgear R7000

  Netgear R8000

  Netgear WNR1000

  NETGEAR WNR2000

  QNAP TS251

  QNAP TS439 Pro

  其他运行 QTS 软件的 QNAP NAS 设备

  TP-Link R600VPN

  简要技术分析

  VPNFilter 恶意软件是一个模块化平台,具有多种功能,支持情报收集并可破坏网络,主要分为三个阶段发起攻击。

  与其他针对物联网设备的恶意软件不同,第 1 阶段的恶意软件在设备重新启动后依然存在。阶段 1 的主要目的是获得持久的立足点,并部署第 2 阶段的恶意软件。阶段 1 利用多个冗余命令和 C2 机制去寻找阶段 2 部署服务器的 IP 地址。第 2 阶段的恶意软件主要用于情报收集(文件收集、命令执行、数据泄露和设备管理等)。这一阶段部分版本可以自动损毁,覆盖设备固件的关键部分并重新启动设备,导致设备无法使用。第二阶段的模块主要是支持第 3 阶段的插件,第 3 阶段插件可以监听网络数据包并拦截流量;监视 Modbus SCADA 协议并通过 Tor 网络与 C&C 服务器通信。

  利用 VPNFilter 恶意软件,攻击者可以达到多种目的:

  监视网络流量并拦截敏感网络的凭证;

  窥探到 SCADA 设备的网络流量,并部署针对 ICS 基础设施的专用恶意软件;

  利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;

  导致路由器瘫痪并使乌克兰的大部分互联网基础设施无法使用

VPNFilter大规模来袭 50万路由器被感染

  此次攻击的目标设备大多位于网络周界,无法利用入侵保护系统(IPS)或 AV 软件包等有效的基于主机的防护系统进行保护。目前还不清楚恶意软件利用了哪些漏洞,不过可以确定的是被入侵的设备大多都比较旧,存在已经公开的漏洞或可被利用的证书,因此攻击者很容易利用漏洞进行入侵。

  攻击疑似瞄准乌克兰

  去年,在乌克兰宪法日前夕,NotPetya 攻击席卷全球,最后被美国定性为来自俄罗斯的攻击。Talos 团队认为,此次攻击中,乌克兰境内路由器和存储设备受损严重,这可能预示着俄罗斯正在为新一轮网络攻击做准备。因为欧洲冠军联赛将于本周六(5月26日)在乌克兰首都基辅开战,且再过几个星期(6月27日),乌克兰将要庆祝其宪法日,这是较好的攻击时机。

  Talos 团队在报告中对 “VPNFilter”进行了详细的技术分析、探讨了幕后攻击者的策略,同时也给出了一些防御和响应对策:

  1. 如果已经感染恶意软件,那么将路由器恢复出厂默认设置,以便删除可能具有破坏性的恶意软件,并尽快更新设备的固件;

  2. 对智能物联网设备的安全性保持警惕。为防止遭受这种恶意软件攻击,最好更改设备的默认凭证;

  3. 如果路由器易受攻击且无法更新,最好直接丢弃并购买新的路由器,因为个人安全和隐私不比路由器贵重得多;

  4. 注意为路由器设置防火墙,关闭远程管理功能。

0
相关文章