思科公司的安全研究人员发布了一份安全警告,报告中描述了一个复杂的恶意软件系统VPNFilter,该系统已经感染了分布于54个国家的至少50万台网络设备。
根据思科公司的说法,至少从2016年开始,该威胁就一直在增长,而且特别麻烦:
“该恶意软件在网络设备上的行为尤其令人担忧,因为VPNFilter恶意软件的组件可以窃取网站凭证并监控Modbus SCADA协议。最后,该恶意软件拥有破坏性能力,可能导致受感染的设备无法使用,这可能会在个别或全部的受感染设备上被激发,并且有切断全球范围内成百上千台受感染设备的互联网接入的潜能。”
思科公司声称,尚不清楚被攻击的确切漏洞,但是,大多数目标设备都具有公开漏洞或默认凭证,这可能使黑客的攻击相对容易。VPNFilter和其他恶意软件的区别在于,它有一个称为“stage 1”的组件,该组件能够在设备重启动的情况下持续存在。事实上,stage 1只有一个目标,就是为stage 2的部署铺平道路,并能够通过一个复杂的机制找出stage 2部署服务器的IP地址,该机制能够应对部署架构的变化。Stage 2恶意软件具有高级能力,比如文件收集、命令执行、数据泄露、设备管理和自我毁灭。此外,这些能力可以通过stage 3恶意软件扩展,stage 3可以作为stage 2恶意软件的插件运行。但是,只有stage 1可以在重启动后仍能工作,而stage 2和stage 3则不能。
VPNFilter已经感染了全球50万台以上的路由器
根据思科公司的说法,要防范该威胁是极其困难的,因为目标设备有漏洞或默认凭证,对普通用户来说,难以打补丁。尽管如此,思科公司的研究人员已经发布了100多个Snort签名,用于VPNFilter的目标设备上的公开已知漏洞。思科公司建议,所有怀疑受感染的设备恢复到出厂设置,然后通过固件升级和更改默认密码来给已知漏洞打补丁。至少,正如FBI确认的那样,你应该重启路由器,以确保移除stage 2和stage 3恶意软件,直到它们再次被部署。
赛门铁克公司(Symantec)已经提供了一份文件VPNFilter Q&A,列出已被识别的目标设备如下:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
用于云计算核心路由器(Cloud Core Routers)的 RouterOS:版本 1016、1036和1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
其他运行QTS软件的QNAP NAS设备
TP-Link R600VPN
不过,思科公司仍然建议为每一台SOHO或NAS设备打上补丁,无论它们是否已被VPNFilter感染,从而避免因为攻击而带来的风险。
在这歹意软件中的形式会拦截宣布去的网页恳求,并改为不安全的 HTTP 要求,借此骇客就能够盗取登入资料等的个人讯息。一起它还能够安插歹意的 JavaScript 在网页、连上该路由器的 PC 或其他设备,进行「中间人进犯」。
并且这歹意软件的影响规模,似乎要比之前估量的更广。在五月底发的陈述表明,这软件只要针对 Linksys、MikroTik、Netgear、QNAP 和 TP-Link 等的路由器和网络存储产品,不过现在却发现就连华硕、D-Link、华为、Ubiquiti、Upvel 和中兴的网络产品都会受害。
这歹意软件 VPNFilter 并非无差别进犯,据 Symantec 的说法,它是关于乌克兰的方针「特别有兴趣」,估量这跟俄罗斯或其他政治安排相关。
MikroTik 和 Netgear 已经宣布新版固件来对应 VPNFilter,QNAP 则有歹意软件移除东西可用。FBI 更已经抄获这歹意软件用于指挥和操控系统的域名,信任状况会很快受操控。不过这次的问题是在从前大家都低估了 VPNFilter 的影响力,并且在扰攘这么长的时刻,始作俑者可能也已经换新的域名或改变进犯的对像了。无论如何,定时为自家的路由器更新固件都是有必要的,并非买了回家就一了百了啊。