5月25日訊 思科和賽門鐵克公司于美國時間2018年5月23日陸續發出安全預警：黑客利用一個復雜的規模化惡意軟件 VPNFilter，感染了全球54個國家的50萬臺路由器，并構建了龐大的僵尸網絡，Linksys，MikroTik，Netgear 和 TP-Link 等多家路由器設備廠商受影響。

VPNFilter功能強大，可破壞固件設備

惡意軟件 VPNFilter 被認為是第二個支持啟動持久性功能的 IoT 惡意軟件，不僅如此，該軟件還可掃描數據采集與監控系統（SCADA）組件收集有價值的信息，并支持刪除/破壞固件的功能，致使受影響的設備不可用。

全球50萬臺 路由器變“肉雞”

思科稱在逾50萬臺路由器上發現了 VPNFilter 惡意軟件，全球54個國家，多個品牌的路由器遭遇感染。思科表示，攻擊者未使用 0Day 漏洞構建該僵尸網絡，而是利用的老舊的公開已知漏洞感染路由器。賽門鐵克羅列了被感染的設備型號：

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

其它運行QTS軟件的QNAP NAS 設備

TP-Link R600VPN

網件、Linksys等公司建議用戶確保路由產品已經升級到最新的固件版本來抵御此次網絡攻擊。

烏克蘭或再遭網絡攻擊

思科表示，VPNFilter 惡意軟件的代碼與2015年及2016年破壞烏克蘭電網的惡意軟件 BlackEnergy 存在重疊之處，該惡意軟件或與俄羅斯黑客組織有關，且有可能在近期發起針對烏克蘭的大型黑客攻擊。

多國曾指責俄羅斯就是 NotPetya 勒索軟件攻擊的幕后黑手。此外，有人認為“壞兔子”勒索軟件也出自俄羅斯之手，它們的主要目標均是烏克蘭。

外媒報道，俄羅斯黑客可能或蓄謀再次對烏克蘭發動網絡攻擊，這一次可能會使用由大量路由器組建的僵尸網絡。

近期被感染設備激增

被惡意軟件 VPNFilter 感染的設備組成的個僵尸網絡可追溯至2016年，但研究人員表示，該網絡僵尸網絡最近幾個月才開始大肆掃描設備，規模也在短期內得以迅速擴大。思科表示該僵尸網絡的操縱者過去幾周一直在重點感染烏克蘭的路由器和 IoT 設備，甚至創建了專門的命令與控制服務器（C&C 服務器）管理這些烏克蘭“肉雞”。

目前尚不清楚攻擊者的意圖所在，隨著該僵尸網絡的行動加快，很快將會爆發一起攻擊，但思科擔心，其最可能瞄準的目標可能是烏克蘭近期即將舉辦的重大活動。

或瞄準烏克蘭大型活動

UEFA 歐洲冠軍聯賽決賽將于2018年5月26日在烏克蘭首都基輔拉開序幕。

烏克蘭的憲法日（6月28日）也可能會是攻擊發生之時，而2017年這個時候正是 NotPetya 攻擊的發動日期。

惡意軟件攻擊三步走

第一階段：由最輕量級的惡意程序感染設備，并獲得啟動持久性。幾周前，羅馬尼亞安全專家披露，第一款在設備重啟后仍能存活的 IoT 惡意軟件“捉迷藏”（HNS）。賽門鐵克發布的一份報告指出，用戶可執行所謂的“硬重置”（即恢復出廠設置）來移除第一階段的惡意軟件。

第二階段：VPNFilter 的惡意軟件模塊雖然無法在設備重啟后存活，但它可以在用戶重啟設備時依靠第一階段的模塊重新下載該模塊。第二階段的主要作用是支持第三階段的插件架構。

思科稱，目前為止已發現了第三階段的插件功能，包括：

嗅探網絡數據包并攔截流量；

監控是否存在 Modubus SCADA 協議；

通過 Tor 匿名網絡與 C&C 服務器通信。

思科懷疑，VPNFilter 的操縱者已經創建了其它模塊，只是目前尚未部署。

VPNFilter 是一款擦除器

雖然 VPNFilter 第二階段的模塊并不具有啟動持久性，但這個階段的模塊最危險，因為它包含自毀功能，可覆寫設備固件的關鍵部分并重啟設備，從而導致設備不可用 ，因為啟動設備所需的代碼已被亂碼替換。

思科的研究人員在報告中指出，大部分受害者無法恢復這一操作，它要求受害者具備普通消費者一般不具備的技術能力、知識或工具。

VPNFilter 的主要用途

從目前來看，攻擊者可能會利用 VPNFilter 開展如下行動：

監控網絡流量并攔截敏感網絡的憑證；

監控流向SCADA設備的網絡流向，并部署專門針對工業控制系統基礎設施的惡意軟件；

利用該僵尸網絡的“肉雞”隱藏其它惡意攻擊的來源；

使路由器癱瘓，導致烏克蘭大部分互聯網基礎設施不可用。

思科表示目前正在和公私實體合作識別被 VPNFilter 感染的設備，并在攻擊發動之前將其消滅。烏克蘭特勤局已發布安全預警。

FBI 已控制 VPNFilter 僵尸網絡一臺重要的服務器

2018年5月23日美國政府表示，將尋求出手解救被黑客入侵并控制的數十萬受感染的路由及存儲設備。

持有法院命令的美國聯邦調查局（FBI）特工已控制了該僵尸網絡一臺重要的服務器，發現了該僵尸網絡的受害者，并重挫了該僵尸網絡再次感染目標的能力。TheDailyBeast 報道指出，VPNFilter與俄羅斯黑客組織Fancy Bear（又名APT28）有關。

法庭記錄顯示，FBI 自2017年八月以來一直在調查 VPNFilter 僵尸網絡，當時 FBI 特工向美國匹茲堡一名受害者（家用路由器遭感染）了解了情況。這名受害者自愿將路由器交給了 FBI 特工，還允許 FBI 利用其家用網絡上的網絡分流器觀察網絡流量。

設備重啟后可擺脫控制

FBI 利用受害者提供的這些素材識別出這款惡意軟件的一個關鍵弱點：如果受害者重啟被感染的路由器，惡意插件就會全部消失，只有這款惡意軟件的核心代碼存活下來。核心代碼經過重新編程能通過互聯網連接到黑客部署的 C&C 服務器。核心代碼首先會檢查托管在 Photobucket（熱門的圖片網站）網站上、在元數據中隱藏信息的特定圖片。如果核心代碼無法找到這些圖片（事實上已從Photobucket 刪除），它就會轉向硬編網址 ToKnowAll[.]com 的應急備份控制點。

5月22日，匹茲堡的 FBI 特工要求該地聯邦法官下達命令，以讓域名注冊公司 Verisign 將 ToKnowAll[.]com 地址移交給 FBI，以進一步展開調查，破壞該僵尸網絡相關的犯罪活動，并協助補救工作。法官同意了 FBI 的要求，FBI 5月23日接管了該域名。

賽門鐵克公司的技術總監維克拉姆·塔庫爾表示，此舉可有效扼殺這款惡意軟件重啟后恢復活動的能力。VPNFilter 惡意軟件的 Payload 本身不具有持久性，因此在路由器重啟后亦無法存活，普通消費者可重啟路由器阻止這類網絡攻擊。

FBI 正在收集被感染路由器（向ToKnowAll[.]com通信）的互聯網 IP 地址，FBI 可利用 IP 信息清理該僵尸網絡的感染。

塔庫爾指出，FBI 可追蹤遭遇感染的受害者，并將此類信息提供給當地互聯網服務提供商。部分互聯網服務提供商有能力遠程重啟路由器，其它這類提供商可通知用戶，敦促其重啟設備。他表示，從技術角色來看，VPNFilter 不會向 FBI 發送受害者的瀏覽歷史或其它敏感數據。它的威脅能力純粹要求額外的 Payload。被感染的路由器目前沒有將數據泄露給 ToKnowAll[.]com。