VPNFilter大規模來襲，感染幾十個國家50萬臺路由器和存儲設備

北京時間 5 月 23 日晚，思科公司發布安全預警稱，俄羅斯黑客利用惡意軟件，已感染幾十個國家的至少50萬臺路由器和存儲設備。攻擊中使用了高級模塊化惡意軟件系統“VPNFilter”，這是思科 Talos 團隊與多個部門以及執法機構一直追蹤研究的惡意軟件。盡管目前研究尚未完成，但思科決定提前公布結果，以便受害者及潛在受害者及時防御與響應。

結合該惡意軟件近期的活動，Talos 團隊認為俄羅斯是此次攻擊的幕后主謀，因為“VPNFilter”惡意軟件的代碼與 BlackEnergy 惡意軟件的代碼相同，而 BlackEnergy 曾多次對烏克蘭發起大規模攻擊。思科發布的分析報告表明，VPNFilter 利用各國的命令和控制（C2）基礎設施，以驚人的速度主動感染烏克蘭境內及多個國家主機。預估至少有 54 個國家遭入侵，受感染設備的數量至少為 50 萬臺。受影響的設備主要有小型和家庭辦公室（SOHO）中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 網絡附加存儲（NAS）設備。暫時尚未發現其他網絡設備供應商受感染。 受感染的設備詳情： Linksys E1200 Linksys E2500 Linksys WRVS4400N 云核心路由器中的 Mikrotik RouterOS：1016、1036 和 1072 版本 NETGEAR DGN2200 NETGEAR R6400 Netgear R7000 Netgear R8000 Netgear WNR1000 NETGEAR WNR2000 QNAP TS251 QNAP TS439 Pro 其他運行 QTS 軟件的 QNAP NAS 設備 TP-Link R600VPN 簡要技術分析 VPNFilter 惡意軟件是一個模塊化平臺，具有多種功能，支持情報收集并可破壞網絡，主要分為三個階段發起攻擊。 與其他針對物聯網設備的惡意軟件不同，第 1 階段的惡意軟件在設備重新啟動后依然存在。階段 1 的主要目的是獲得持久的立足點，并部署第 2 階段的惡意軟件。階段 1 利用多個冗余命令和 C2 機制去尋找階段 2 部署服務器的 IP 地址。第 2 階段的惡意軟件主要用于情報收集（文件收集、命令執行、數據泄露和設備管理等）。這一階段部分版本可以自動損毀，覆蓋設備固件的關鍵部分并重新啟動設備，導致設備無法使用。第二階段的模塊主要是支持第 3 階段的插件，第 3 階段插件可以監聽網絡數據包并攔截流量；監視 Modbus SCADA 協議并通過 Tor 網絡與 C&C 服務器通信。 利用 VPNFilter 惡意軟件，攻擊者可以達到多種目的： 監視網絡流量并攔截敏感網絡的憑證； 窺探到 SCADA 設備的網絡流量，并部署針對 ICS 基礎設施的專用惡意軟件； 利用被感染設備組成的僵尸網絡來隱藏其他惡意攻擊的來源； 導致路由器癱瘓并使烏克蘭的大部分互聯網基礎設施無法使用

此次攻擊的目標設備大多位于網絡周界，無法利用入侵保護系統（IPS）或 AV 軟件包等有效的基于主機的防護系統進行保護。目前還不清楚惡意軟件利用了哪些漏洞，不過可以確定的是被入侵的設備大多都比較舊，存在已經公開的漏洞或可被利用的證書，因此攻擊者很容易利用漏洞進行入侵。 攻擊疑似瞄準烏克蘭 去年，在烏克蘭憲法日前夕，NotPetya 攻擊席卷全球，最后被美國定性為來自俄羅斯的攻擊。Talos 團隊認為，此次攻擊中，烏克蘭境內路由器和存儲設備受損嚴重，這可能預示著俄羅斯正在為新一輪網絡攻擊做準備。因為歐洲冠軍聯賽將于本周六（5月26日）在烏克蘭首都基輔開戰，且再過幾個星期（6月27日），烏克蘭將要慶祝其憲法日，這是絕佳的攻擊時機。 Talos 團隊在報告中對 “VPNFilter”進行了詳細的技術分析、探討了幕后攻擊者的策略，同時也給出了一些防御和響應對策： 1. 如果已經感染惡意軟件，那么將路由器恢復出廠默認設置，以便刪除可能具有破壞性的惡意軟件，并盡快更新設備的固件； 2. 對智能物聯網設備的安全性保持警惕。為防止遭受這種惡意軟件攻擊，最好更改設備的默認憑證； 3. 如果路由器易受攻擊且無法更新，最好直接丟棄并購買新的路由器，因為個人安全和隱私不比路由器貴重得多； 4. 注意為路由器設置防火墻，關閉遠程管理功能。 來源：FreeBuf