恶意软件感染路由器等设备造就一个巨大的僵尸网络,这件事情在美国东部大断网后已经不稀奇了。
但是,最近有个恶意软件感染了 50 万台设备后,FBI 介入了,原来这事还涉及到俄罗斯和乌克兰。僵尸网络、恶意软件、黑客、政治……这些词交叉起来,可能就是一个精彩的故事了。
起因是这样的……
乌克兰:黑客攻击重灾区
美国时间 5 月 23 日,思科公司的安全研究员宣布:我们发现了一个巨大的僵尸网络,这个僵尸网络看上去好像要攻击乌克兰!
说起乌克兰这个国家,还真是被黑客攻击的重灾区。
比如,雷锋网曾报道过,2015 年 12 月 23 日,乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民突然遭遇了一次大停电,这次停电的罪魁祸首是黑客。没想到,时隔一年,2016 年 12 月 17 日,乌克兰的国家电力部门又遭遇了一次黑客袭击,停电了 30 分钟,这一次,安全公司直指俄罗斯黑客利用恶意软件“潜伏”在了乌克兰军队。
后来,2017 年勒索病毒肆虐时,英国、乌克兰、俄罗斯等都受到了不同程度的影响,乌克兰的政府又苦兮兮地出来刷了波存在感——当时乌克兰副总理罗岑科·帕夫洛称职表示,他和乌克兰政府的其他成员无法使用电脑了,电脑被“同一界面锁住了”……
对于前两起事件,乌克兰都怪上了俄罗斯黑客。
鉴于此,美国大哥出手了。
E 安全一则今年 5 月的新闻报道称,美、乌两国 2017 年 9 月曾在基辅(乌克兰首都)进行了首次双边网络安全对话,美国宣布提供 500 万美元网络安全援助,旨在“加强乌克兰预防、缓解及应对网络攻击活动的能力”。
随后,美国国务院计划将 2017 年向乌克兰承诺的网络防御援助增加一倍,即 1000 万美元,旨在增强各盟友抵御俄罗斯黑客攻击活动的能力。
又怪俄罗斯
那么,这件事和今天要说的这一起僵尸网络案又有什么关系?
按照思科 Talos 团队的解释,这次僵尸网络的“凶器”是一款名为“VPNFilter”的最新恶意软件,预估有 54 个国家遭入侵,受感染设备的数量至少为 50 万台。
该团队研究分析结果显示, VPNFilter 破坏性较强,可通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入。利用 VPNFilter 恶意软件,攻击者还可以达到多种其他目的,如监视网络流量并拦截敏感网络的凭证;窥探到 SCADA (数据采集与监视控制系统)设备的网络流量,并部署针对 ICS 基础设施的专用恶意软件;利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;导致路由器瘫痪并使受攻击的大部分互联网基础设施无法使用。
如果需要的话,类似命令可大规模执行,可导致成千上万的设备无法使用,比如现在被发现感染的设备就已经超 50 万台了。
Talos 团队认为,俄罗斯是此次攻击的幕后主谋,乌克兰是最主要的受害者。
原因有二:
1.“VPNFilter”恶意软件的代码与 BlackEnergy 恶意软件的代码相同,而 BlackEnergy 曾多次对乌克兰发起大规模攻击。
2.VPNFilter 利用各国的命令和控制(C2)基础设施,过去几周,僵尸网络的创建者一直致力于感染乌克兰的路由器和物联网设备,甚至创建了一个专门的命令控制服务器来管理这些乌克兰机器人。
思科说,目前还不清楚这个僵尸网络的目的是什么,但是他们担心,一个新的攻击可能很快就会到来。最有可能的目标是 5 月 26 日星期六,也就是今年将在乌克兰首都基辅举行的欧洲冠军杯决赛。 另一个可能的日期是 6 月 27 日乌克兰宪法日,也就是去年的 NotPetya 实施网络攻击的日子。
这么紧张的情况下,美国大哥又出手了。
5 月 24 日据外媒报道,美国政府本周三表示,他们将解救被黑客入侵并控制的数十万受感染的路由及存储设备。随后,美国联邦调查局 (FBI)获得了法院命令,控制了这些僵尸设备背后的服务器。外媒 bleepingcomputer 报道,乌克兰特勤局进一步确定,这次袭击应该发生在周六。
FBI 在调查过程中,又证实了“罪魁祸首”——这个僵尸网络由俄罗斯一个著名黑客间谍组织控制,它最常见的名字为 APT28,美国安全公司火眼曾称,这个黑客组织获得了俄罗斯政府的支持,这个结论得到了爱沙尼亚外国情报局的盖章。
周六前的抢救
除了涉及政治,大家紧张兮兮地原因还在于,VPNFilter 瞄准的设备类型为网络设备和存储设备,一般很难防御,这些设备经常出现在网络外围,没有入侵保护系统(IPS),也通常没有可用的基于主机的防护系统,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有公开的漏洞或默认口令,这使得攻击相对简单。
VPNFilter 属于高度模块化的框架,允许快速更改操作目标设备,同时能为情报收集和寻找攻击平台提供支撑。它实施攻击的路径主要分为三个阶段:
第 1 阶段,恶意软件会通过重新启动植入,该阶段主要目的是获得一个持久化存在的立足点,并使第 2 阶段的恶意软件得以部署。
第 2 阶段,恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。
此外,还有多个阶段 3 的模块作为第 2 阶段恶意软件的插件,提供附加功能。
当前,思科 Talos 团队已发现了两个插件模块:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控 Modbus SCADA 协议,以及允许第 2 阶段与 Tor 通信的通信模块,据称仍然有其他几个插件模块但当前还没有发现。
安全专家认为, VPFilter 僵尸网络极其危险,一是这可能是一个国家级的攻击行为,二是它拦截网络流量,搜索 SCADA 设备,以及能让设备变砖。而且,按照他们的判断,“弱鸡的”普通群众毫无还手之力。
这也是在思科发布报告的几个小时后,FBI 立即出动,控制了该僵尸网络背后域名 toknowall.com 的原因。同时,FBI 现在宣告,各地拥有受影响路由器和 NAS 设备的用户赶紧重置自己的设备,这样做的目的是,重新连接服务器,好让“我们知道这个僵尸网络现在到底被养得多肥了”!
友情附赠容易受到该恶意软件攻击的设备清单:
本文参考来源:bleepingcomputer、E安全等,另感谢阿里安全猎户座实验室提供了部分资料。
閱讀更多 宅客 的文章
