近日,Canthink網絡安全攻防實驗室
發現了一個被黑客入侵的大型路由器殭屍網絡,似乎正在準備對烏克蘭進行網絡攻擊,該殭屍網絡是通過一種名為VPNFilter的新型惡意軟件感染家庭路由器而創建的。
據悉,這種惡意軟件與其他物聯網的惡意軟件相比是極其複雜的,其行為相當具有破壞性,且對 啟動緩慢(與第二物聯網/路由器的惡意軟件相同)、掃描SCADA元件和固件雨刷/破壞性功能喪失 的受影響設備提供支持。
Canthink研究員表示,這是與BlackEnergy代碼重疊的
一種惡意軟件,其在2015及2016年冬季被用於削弱烏克蘭電網。美國國土安全部及能源部已確定俄羅斯cyber-spies BlackEnergy惡意軟件的製造者即為此前烏克蘭電網襲擊的肇事者。目前,Canthink安全專家認為,俄羅斯可能正使用受感染路由器的殭屍網絡準備發動對烏克蘭的第二次襲擊。VPNFilter惡意軟件存在於Linksys、MikroTik、NETGEAR 、TP-Link及QNAP NAS生產的超5000000路由器上,Canthink網絡安全攻防實驗室研究在以下設備上發現了VPNFilter惡意軟件:
據瞭解,雖然在2016年就有這個殭屍網絡存在的跡象,但其近幾個月開始進行強烈的掃描活動,並發展到一個巨大的規模:受感染的設備橫跨54個國家。不過,殭屍網絡的創建者過去幾周似乎一直專注於感染位於烏克蘭在路由器和物聯網設備,甚至創建了專用的命令和控制服務器來管控這些設備。
雖然目前還不清楚他們的真正意圖,但隨著殭屍網絡運營的加強,新的攻擊隨時都可能到來。據專家推測,
集中進行網絡攻擊的時間可能在本週六(5月26日),即今年將於烏克蘭首都基輔舉行的歐洲冠軍足球聯賽;另一個可能的日期是烏克蘭憲法日,即6月27日的NotPetya網絡攻擊日。Canthink研究人員表示,已經發現了惡意軟件第三階段攻擊的插件,其將 嗅探網絡數據包並攔截流量、監視Modbus SCADA協議的存在、通過Tor網絡與C&C服務器通信,VPNFilter運營商在此之前可能尚未部署。
此外,還應瞭解到
VPN過濾器是最危險的,因為它包含一個自毀功能,可以覆蓋設備固件的關鍵部分,並重啟設備,這也將導致設備無法使用。閱讀更多 網絡安全焦點 的文章