前情提要
思科公司的安全研究员表示,已检测到由被黑路由器组成的一个庞大僵尸网络,它的攻击目标似乎指向乌克兰。
研究人员指出,攻击者通过名为 “VPNFilter” 的新型恶意软件网络感染家庭路由器,然后组建僵尸网络。和其它物联网恶意软件相比,这个僵尸网络极其复杂,而且还支持引导持续性(目前发现的第二款具有此能力的物联网/路由器恶意软件)、支持扫描 SCADA 组件,且具有导致受影响设备无法使用的固件破坏功能。
俄罗斯最可能是幕后黑手
思科安全研究员发现这款僵尸网络的代码和 BlackEnergy 恶意软件网络的代码存在相同部分。回顾2015年冬和2016年,攻击者利用 BlackEnergy 攻击乌克兰电网事件。
乌克兰电网事件回顾
美国国土安全部认为俄罗斯网络间谍是 BlackEnergy 恶意软件以及攻击乌克兰电力网的幕后黑手。
多个国家已指责俄罗斯发动最初针对乌克兰的 NotPetya 勒索软件攻击。虽然这些国家并未发出官方声明,但很多人认为俄罗斯发动了“坏兔子 (Bad Rabbit)”勒索攻击,而且它主要针对的同样是位于乌克兰的公司。
俄罗斯还被认为是韩国2018年冬奥会开幕式传播 “Olympic Destroyer” 恶意软件的罪魁祸首。俄罗斯可能因国际奥委会禁止参赛一事发动了攻击。
目前,安全专家认为俄罗斯可能正在准备对乌克兰发动新一轮攻击,这次使用的也许就是受感染路由器的僵尸网络。
VPNFilter 僵尸网络由50多万台被黑设备组成
思科表示不但从由 Linksys、MikroTik、网件公司和 TP-Link 生产的50多万台路由器中而且从 QNAP NAS 设备中发现了 VPNFilter 恶意软件。思科表示从下列设备中发现了这款 VPNFilter 恶意软件:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
服务于 Cloud Core 路由器的Mikrotik RouterOS:版本 1016、1036和1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
运行 QTS 软件的其它 QNAP NAS 设备
TP-Link R600VPN
这个僵尸网络早在2016年就已出现,不过研究人员表示攻击者在最近几个月才开始大规模地开展扫描活动,僵尸网络因此得以迅速扩展。
虽然受感染设备遍布54个国家,但思科安全研究员表示最近几周僵尸网络的创建者在集中感染位于乌克兰的路由器和物联网设备,甚至还创建了专门的服务器管理这些乌克兰僵尸网络设备。虽然目前尚不清楚攻击者目的,不过思科安全研究员担心,按照目前僵尸网络的发展态势,要不了多久就会出现新型攻击。
思科安全研究员 甚至连时间都预测出来:
- 预测 时间一:5月26日,届时欧洲冠军联赛决赛将于乌克兰首都基辅拉开序幕;
- 预测时间二:6月27日, 乌克兰宪法日, 去年 NotPetya 攻击的发动日期也正好是这个时间;
VPNFilter 非常复杂
思科专家警告称,VPNFilter 恶意软件是迄今为止最为复杂的物联网/路由器恶意软件僵尸网络之一,而且能够实施非常具有破坏性的行为。
这款僵尸网络分三步行动。
第一个阶段:僵尸网络轻量又简单,它的唯一作用是感染设备并获取引导持续性。几周前才出现首款能够在设备重启后存活的物联网僵尸网络“捉迷藏 (Hide and Seek)”。不过赛门铁克公司在一份报告中指出,用户可通过所为的“硬重置”即恢复到出厂设置的方式删除这个阶段的恶意软件。
第二个阶段:VPNFilter 恶意软件模块虽然无法在设备重启后存活,但可以在用户重启(并清理)设备时依靠第一阶段的模块重新下载该模块。
第二个阶段模块的主要作用是为第三个阶段的插件提供插件基础架构支持。
第三个阶段:有点厉害
- 嗅探网络包并拦截流量
- 监控是否存在 Modbus SCADA 协议
- 通过 Tor 网络和 C&C 服务器通信
思科怀疑 VPNFilter 的操纵人员已经创建了其它此前并未部署的模块。
VPNFilter 还是一款擦除器
但是,虽然第二个阶段的模块并不具备引导持续性,但它仍然最具危险性,因为它包含一个自我破坏函数,能够覆写设备固件的关键部分并重启设备。这种操作导致任意设备均不可用,因为能够启动该设备的代码已遭乱码替换。
研究人员在报告中指出,“多数受害者无法恢复这一动作,它要求消费者具备他们无法企及的技术能力或工具。我们很担心这种能力能造成的损坏。”
目前,攻击者能够通过如下方式使用 VPNFilter:
- 监控网络流量并拦截敏感网络的凭证
- 监控传入 SCADA 设备的网络流量并部署专门针对 ICS 基础设施的恶意软件
- 利用僵尸网络的被黑设备隐藏其它恶意攻击来源
- 导致路由器崩溃并导致乌克兰大部分的互联网基础设施无法使用
思科表示目前正在和相关的公司实体合作试图锁定受到 VPNFilter 感染的设备,在它发动任何攻击之前将其消灭。截止本文发布前,乌克兰特勤局刚刚发布了相关安全公告。
今年4月,卡巴斯基实验室的安全研究员已发现多个国家网络监控组织开始将被黑路由器集成到攻击基础设施中。并且思科在研究中发现越来越多的恶意活动使用擦除器。僵尸网络的威力不容小觑。
安全客互动提问
1、你认为这次攻击的“幕后真凶”是谁呢?
2、你觉得思科能在攻击开始前锁定设备将其消灭么?
3、如果真的有攻击,会对国内产生什么影响呢?
欢迎小伙伴们参与到本篇资讯的讨论中来,工作人员会选取2位灰常幸运的小伙伴,邀请加入安全客VIP用户大家庭的微信群!
发表评论
您还未登录,请先登录。
登录