北京時(shí)間 5 月 23 日晚,思科公司發(fā)布安全預(yù)警稱,俄羅斯黑客利用惡意軟件,已感染幾十個(gè)國(guó)家的至少50萬(wàn)臺(tái)路由器和存儲(chǔ)設(shè)備。攻擊中使用了高級(jí)模塊化惡意軟件系統(tǒng)“VPNFilter”,這是思科 Talos 團(tuán)隊(duì)與多個(gè)部門(mén)以及執(zhí)法機(jī)構(gòu)一直追蹤研究的惡意軟件。盡管目前研究尚未完成,但思科決定提前公布結(jié)果,以便受害者及潛在受害者及時(shí)防御與響應(yīng)。
結(jié)合該惡意軟件近期的活動(dòng),Talos 團(tuán)隊(duì)認(rèn)為俄羅斯是此次攻擊的幕后主謀,因?yàn)?ldquo;VPNFilter”惡意軟件的代碼與 BlackEnergy 惡意軟件的代碼相同,而 BlackEnergy 曾多次對(duì)烏克蘭發(fā)起大規(guī)模攻擊。思科發(fā)布的分析報(bào)告表明,VPNFilter 利用各國(guó)的命令和控制(C2)基礎(chǔ)設(shè)施,以驚人的速度主動(dòng)感染烏克蘭境內(nèi)及多個(gè)國(guó)家主機(jī)。預(yù)估至少有 54 個(gè)國(guó)家遭入侵,受感染設(shè)備的數(shù)量至少為 50 萬(wàn)臺(tái)。受影響的設(shè)備主要有小型和家庭辦公室(SOHO)中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 網(wǎng)絡(luò)附加存儲(chǔ)(NAS)設(shè)備。暫時(shí)尚未發(fā)現(xiàn)其他網(wǎng)絡(luò)設(shè)備供應(yīng)商受感染。
受感染的設(shè)備詳情:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
云核心路由器中的 Mikrotik RouterOS:1016、1036 和 1072 版本
NETGEAR DGN2200
NETGEAR R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
NETGEAR WNR2000
QNAP TS251
QNAP TS439 Pro
其他運(yùn)行 QTS 軟件的 QNAP NAS 設(shè)備
TP-Link R600VPN
簡(jiǎn)要技術(shù)分析
VPNFilter 惡意軟件是一個(gè)模塊化平臺(tái),具有多種功能,支持情報(bào)收集并可破壞網(wǎng)絡(luò),主要分為三個(gè)階段發(fā)起攻擊。
與其他針對(duì)物聯(lián)網(wǎng)設(shè)備的惡意軟件不同,第 1 階段的惡意軟件在設(shè)備重新啟動(dòng)后依然存在。階段 1 的主要目的是獲得持久的立足點(diǎn),并部署第 2 階段的惡意軟件。階段 1 利用多個(gè)冗余命令和 C2 機(jī)制去尋找階段 2 部署服務(wù)器的 IP 地址。第 2 階段的惡意軟件主要用于情報(bào)收集(文件收集、命令執(zhí)行、數(shù)據(jù)泄露和設(shè)備管理等)。這一階段部分版本可以自動(dòng)損毀,覆蓋設(shè)備固件的關(guān)鍵部分并重新啟動(dòng)設(shè)備,導(dǎo)致設(shè)備無(wú)法使用。第二階段的模塊主要是支持第 3 階段的插件,第 3 階段插件可以監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包并攔截流量;監(jiān)視 Modbus SCADA 協(xié)議并通過(guò) Tor 網(wǎng)絡(luò)與 C&C 服務(wù)器通信。
利用 VPNFilter 惡意軟件,攻擊者可以達(dá)到多種目的:
監(jiān)視網(wǎng)絡(luò)流量并攔截敏感網(wǎng)絡(luò)的憑證;
窺探到 SCADA 設(shè)備的網(wǎng)絡(luò)流量,并部署針對(duì) ICS 基礎(chǔ)設(shè)施的專用惡意軟件;
利用被感染設(shè)備組成的僵尸網(wǎng)絡(luò)來(lái)隱藏其他惡意攻擊的來(lái)源;
導(dǎo)致路由器癱瘓并使烏克蘭的大部分互聯(lián)網(wǎng)基礎(chǔ)設(shè)施無(wú)法使用
此次攻擊的目標(biāo)設(shè)備大多位于網(wǎng)絡(luò)周界,無(wú)法利用入侵保護(hù)系統(tǒng)(IPS)或 AV 軟件包等有效的基于主機(jī)的防護(hù)系統(tǒng)進(jìn)行保護(hù)。目前還不清楚惡意軟件利用了哪些漏洞,不過(guò)可以確定的是被入侵的設(shè)備大多都比較舊,存在已經(jīng)公開(kāi)的漏洞或可被利用的證書(shū),因此攻擊者很容易利用漏洞進(jìn)行入侵。
攻擊疑似瞄準(zhǔn)烏克蘭
去年,在烏克蘭憲法日前夕,NotPetya 攻擊席卷全球,最后被美國(guó)定性為來(lái)自俄羅斯的攻擊。Talos 團(tuán)隊(duì)認(rèn)為,此次攻擊中,烏克蘭境內(nèi)路由器和存儲(chǔ)設(shè)備受損嚴(yán)重,這可能預(yù)示著俄羅斯正在為新一輪網(wǎng)絡(luò)攻擊做準(zhǔn)備。因?yàn)闅W洲冠軍聯(lián)賽將于本周六(5月26日)在烏克蘭首都基輔開(kāi)戰(zhàn),且再過(guò)幾個(gè)星期(6月27日),烏克蘭將要慶祝其憲法日,這是絕佳的攻擊時(shí)機(jī)。
Talos 團(tuán)隊(duì)在報(bào)告中對(duì) “VPNFilter”進(jìn)行了詳細(xì)的技術(shù)分析、探討了幕后攻擊者的策略,同時(shí)也給出了一些防御和響應(yīng)對(duì)策:
1. 如果已經(jīng)感染惡意軟件,那么將路由器恢復(fù)出廠默認(rèn)設(shè)置,以便刪除可能具有破壞性的惡意軟件,并盡快更新設(shè)備的固件;
2. 對(duì)智能物聯(lián)網(wǎng)設(shè)備的安全性保持警惕。為防止遭受這種惡意軟件攻擊,最好更改設(shè)備的默認(rèn)憑證;
3. 如果路由器易受攻擊且無(wú)法更新,最好直接丟棄并購(gòu)買(mǎi)新的路由器,因?yàn)閭(gè)人安全和隱私不比路由器貴重得多;
4. 注意為路由器設(shè)置防火墻,關(guān)閉遠(yuǎn)程管理功能。
| 
