根据思科的研究人员警告说,黑客利用恶意软件可能已经在全球范围内入侵超过50万台家庭和小型办公室路由器,这些恶意软件可用于收集通信,发动对其他人的攻击,并通过单一命令永久销毁设备。

思科研究人员在一份咨询报告中称, VPNFilter作为模块化,多阶段恶意软件被称为“由Linksys,MikroTik,Netgear,TP-Link制造的消费级路由器以及QNAP的网络连接存储设备。它是能够在重新启动后存活的少数互联网恶意软件之一。自至少2016年以来,至少54个国家的感染状况一直在缓慢增长,思科的研究人员已经监测了数月时间。在过去的三周里,这些攻击大幅增加,其中包括对位于乌克兰的设备的两起重大攻击。如此高峰加上恶意软件的高级功能,从而促使思科在研究完成之前发布周三的报告。

思科研究员William Largent写道:“这种恶意软件可用于满足威胁行为者的多种运营需求。” “由于受影响的设备由企业或个人合法拥有,因此受感染设备进行的恶意活动可能被错误地归因于实际上的受害者。内置于恶意软件各个阶段和插件的功能非常灵活,可让以多种方式利用设备。“

VPNFilter附带的嗅探器收集登录证书以及可行监控和数据采集流量。恶意软件还可以让攻击者通过将设备用作连接最终目标的点来混淆自己。研究人员还表示,他们发现证据表明,至少有一些恶意软件包括永久禁用该设备的命令,这种功能可以让攻击者禁止全球数十万人或重点地区的互联网访问,具体取决于特别的目标。

思科的报告称,在大多数情况下,大多数受害者无法恢复这种行为,需要技术能力,专有技术或工具,因此期望消费者谨慎对待。

思科的报告是在美国国土安全部,联邦调查局和英国国家网络安全中心共同警告称,代表俄罗斯政府工作的黑客正在危及大量属于政府的路由器,交换机和其他网络设备,企业和关键基础设施提供商。思科的报告没有明确说出俄罗斯的名字,但它确实表示VPNFilter包含一个涉及RC4加密密码的破碎功能,与被称为BlackEnergy的恶意软件中的加密密码相同。BlackEnergy已被用于与俄罗斯政府有关的各种攻击,其中包括2016年12月发生的一起袭击导致乌克兰停电。然而,BlackEnergy被认为已被其他攻击组织重新利用,因此它自身的代码重叠并不能证明VPNFilter是由俄罗斯政府开发的。毫无疑问,开发VPNFilter的人是一个高级组织。初阶段感染运行基于Busybox和Linux的固件的设备,并针对多种CPU架构进行编译。主要目的是在互联网上定位攻击者控制的服务器,以接收更全面的第二阶段。一阶段通过下载图像并从存储在EXIF字段中的用于GPS纬度和经度的六个整数值中提取IP地址来定位服务器。如果Photobucket下载失败,阶段将尝试从toknowall下载图像。

原文来自:http://news.51cto.com/art/201805/574474.htm

本文地址:https://www.linuxprobe.com/strike-again-hackers.html编辑:吴康宁,审核员:逄增宝