俄罗斯国家黑客被指黑掉50万台路由器欲攻击乌克兰

翻译：360代码卫士团队

思科公司的安全研究员表示，已检测到由被黑路由器组成的一个庞大僵尸网络，它似乎意在乌克兰。

研究人员指出，攻击者通过名为 “VPNFilter” 的新型恶意软件网络感染家庭路由器，然后组建僵尸网络。

和其它物联网恶意软件相比，这个僵尸网络极其复杂，而且还支持引导持续性（第二款具有此能力的物联网/路由器恶意软件）、扫描 SCADA 组件，以及具有导致受影响设备无法使用的固件擦除器/破坏性功能。

思科表示发现这款僵尸网络的代码和 BlackEnergy 恶意软件网络的代码存在重合之处。2015年冬和2016年，攻击者利用 BlackEnergy 攻击乌克兰电力网。

美国国土安全部认为俄罗斯网络间谍是 BlackEnergy 恶意软件以及攻击乌克兰电力网的幕后黑手。

多个国家已指责俄罗斯发动最初针对乌克兰的 NotPetya 勒索软件攻击。虽然这些国家并未发出官方声明，但很多人认为俄罗斯发动了“坏兔子 (Bad Rabbit)”勒索攻击，而且它主要针对的也是位于乌克兰的公司。

俄罗斯还被认为是韩国2018年冬奥会开幕式传播 “Olympic Destroyer” 恶意软件的罪魁祸首。俄罗斯可能因国际奥委会禁止参赛而发动攻击。

目前，安全专家认为俄罗斯可能正在准备对乌克兰发动新一轮攻击，这次使用的可能是受感染路由器的僵尸网络。

思科表示不但从由 Linksys、MikroTik、网件公司和 TP-Link 生产的50多万台路由器中而且从 QNAP NAS 设备中发现了 VPNFilter 恶意软件。思科表示从下列设备中发现了这款 VPNFilter 恶意软件：

• Linksys E1200

• Linksys E2500

• Linksys WRVS4400N

• 服务于 Cloud Core 路由器的Mikrotik RouterOS：版本 1016、1036和1072

• Netgear DGN2200

• Netgear R6400

• Netgear R7000

• Netgear R8000

• Netgear WNR1000

• Netgear WNR2000

• QNAP TS251

• QNAP TS439 Pro

• 运行 QTS 软件的其它 QNAP NAS 设备

• TP-Link R600VPN

这个僵尸网络早在2016年就已出现，不过研究人员表示攻击者在最近几个月才开始大规模地开展扫描活动，僵尸网络也因此变得巨大无比。

虽然受感染设备遍布54个国家，但思科表示僵尸网络的创建者在近几周以来一直都在集中感染位于乌克兰的路由器和物联网设备，甚至还创建了专门的命令和控制服务器管理这些乌克兰僵尸。

目前尚不清楚攻击者的目的是什么，不过思科担心可能很快就会出现新型攻击，因为这款僵尸网络正在加快行动。

网络攻击最有可能发生的时间是5月26日，届时欧洲冠军联赛决赛将于乌克兰首都基辅拉开序幕。另外一个可能发生攻击的日期是乌克兰的宪法日（6月27日），而去年这个时候正是 NotPetya 攻击的发动日期。

思科专家警告称，VPNFilter 恶意软件是迄今为止最为复杂的物联网/路由器恶意软件僵尸网络之一，而且能够实施非常具有破坏性的行为。

这款僵尸网络分三步行动。第一个阶段的僵尸最轻量最简单，它的唯一作用是感染设备并获取引导持续性。几周前才出现首款能够在设备重启后存活的物联网僵尸网络“捉迷藏 (Hide and Seek)”。不过赛门铁克公司在一份报告中指出，用户可通过所为的“硬重置”即恢复到出厂设置的方式删除这个阶段的恶意软件。

第二个阶段，VPNFilter 恶意软件模块虽然无法在设备重启后存活，但可以在用户重启（并清理）设备时依靠第一阶段的模块重新下载该模块。

第二个阶段模块的主要作用是为第三个阶段的插件提供插件基础架构支持。思科表示已发现第三阶段的插件能够：

• 嗅探网络包并拦截流量

• 监控是否存在 Modbus SCADA 协议

• 通过 Tor 网络和 C&C 服务器通信

思科怀疑 VPNFilter 的操纵人员已经创建了其它此前并未部署的模块。

但是，虽然第二个阶段的模块并不具备引导持续性，但它仍然最具危险性，因为它包含一个自我破坏函数，能够覆写设备固件的关键部分并重启设备。这种操作导致任意设备均不可用，因为能够启动该设备的代码已遭乱码替换。

研究人员在报告中指出，“多数受害者无法恢复这一动作，它要求消费者具备他们无法企及的技术能力或工具。我们很担心这种能力能造成的损坏。”

目前，攻击者能够通过如下方式使用 VPNFilter：

• 监控网络流量并拦截敏感网络的凭证

• 监控传入 SCADA 设备的网络流量并部署专门针对 ICS 基础设施的恶意软

• 利用僵尸网络的被黑设备隐藏其它恶意攻击来源

• 导致路由器崩溃并导致乌克兰大部分的互联网基础设施无法使用

思科表示目前正在和公私实体协作找出受到 VPNFilter 感染的设备，在它发动任何攻击之前将其消灭。乌克兰特勤局刚刚发布相关安全公告。

4月，卡巴斯基实验室的安全研究员发现多个国家网络监控组织已开始将被黑路由器集成到攻击基础设施中。思科还发布报告说明越来越多的恶意活动使用擦除器。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。