卡巴斯基：越来越多的 APT 组织利用路由器发动攻击

翻译：360代码卫士团队

卡巴斯基实验室的研究人员指出，网络间谍组织即 APT 组织越来越频繁地利用被黑路由器发动攻击。

卡巴斯基实验室全球研究和分析团队 (GReAT) 主管 Costin Raiu 表示，“这并不是什么新鲜事，也并不是刚刚才爆发的。多年来我们见过很多路由器攻击事件。SYNfun Knock 就是一个很好的例子，它是由火眼公司以及 APT 组织如 Regin 和 CloudAtlas 等从思科路由器中发现的一个恶意植入。这两个 APT 组织因持有专属路由器植入而为人所知。”

2017年利用路由器发动攻击的 APT 组织数量一直在稳步增加，到了2018年这种攻击更是得到广泛传播。

例如，Slingshot APT （被指为针对 ISIS 武装组织的美国军队的 JSOC 行动）利用被黑 MikroTik 路由器通过恶意软件感染受害者。

同样，Inception Framework APT 黑掉家庭路由器并构建了一个可隐藏的代理网络即实施 UPnProxy 攻击。

这只是其中两个例子而已。公众不知道的例子还有很多。Raiu 就详细说明了其中一个案例。

Raiu 指出，“我们在研究过程中发现 LuckyMouse APT （使用路由器）托管着命令和控制服务器，这一点并不经常见。我们认为他们已设法通过一个 SMB 漏洞黑掉一台路由器，这可使得他们上传 CGI 脚本用于命令和控制。”

LuckyMouse 是一个新的 APT 组织，虽然尚不存在关于 LuckyMouse APT 活动的公开报告，但这个例子是为数不多的可以让研究人员设法将路由器入侵和网络间谍组织的行动关联在一起的例子。需要调查的攻击事件还有很多，如神秘的同步路由器重启案例。

Raiu 表示，2018年第一季度发生的一件有意思的事是，一个国家计算机安全应急响应中心 (Govcert) 发布了关于一家有名的路由器厂商的不同寻常的重启问题公告。在某些情况下，重启发生的时间几乎在部署于基础设施中的多种设备中同时发生，这说明重启是协调进行的。遗憾的是，目前关于该事件的信息并不多。目前尚不清楚它是否是一次恶意攻击还是可能是硬件出了问题，但可以肯定的是现在路由器攻击非常热，而且很可能发生着我们看不到的其它攻击。

Raiu 补充道，“为了支持这一理论，美国政府发布一份文档表示多年来路由器攻击已成为很多恶意组织的偏好的攻击向量。”

他认为这种说法很重要，因为人们看到的路由器恶意软件和路由器攻击报告实际上只是冰山一角。之所以说路由器是“偏好的”攻击向量意思实际上是说有些事情我们根本没有发现。因此，他认为在未来几个月内甚至是几年内将发生越来越多的路由器攻击事件。

目前，卡巴斯基实验室将路由器归类于 APT 行动的“风险增长领域”，仅次于最近出现的一波 CPU 漏洞如 Meltdown、Spectre、Chimera、RyzenFall、Fallout 和 MasterKey，原因是威胁组织将学习如何将路由器用于攻击中。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。