思科(Cisco)旗下的威脅情報組織Talos上個月披露了相信是由俄羅斯黑客集團Fancy Bear主導的VPNFilter攻擊行動,該移動感染了全球54個國家的50萬臺網絡設備,經過進一步分析後,Talos本週指出,VPNFilter的能力超乎當初的想象,不論是感染範圍或是惡意模塊的能力都更形嚴重。
根據Talos上個月的初步分析,VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器,以及QNAP網絡存儲設備,也對基於Modbus SCADA協議的工業控制系統特別有興趣,它能監控設備流量、竊取網站憑證,也可切斷設備的聯網能力或讓設備無法使用,還能長久進駐受黑設備,無法藉由簡單的重開機移除它,而是得回覆設備出廠配置。
然而,本週Talos發現太小看VPNFilter的能力了,它的感染範圍不僅限於上述,還包括ASUS、 D-Link、華為、Ubiquiti、UPVEL與中興等設備;所搭配的惡意模塊ssller也能把HTTPS加密傳輸降級為HTTP傳輸,dstr模塊則能移除VPNFilter的蹤跡與設備運行的必要文件。
分析顯示,ssller模塊能夠攔截該設備上所有藉由port 80傳送的流量,可竊取數據並注入JavaScript ,以用來攻陷同一網絡所連接的其它設備,也試圖將HTTPS傳輸降級至HTTP。
至於dstr模塊則會移除設備正常運行所需的文件,以造成被黑設備失效,在移除設備上的文件之前,它會先抹滅VPNFilter移動的蹤跡。
Talos警告,這些能力意味著如果黑客成功地入侵這些終端設備,即可於該環境中部署任何的惡意功能,像是rootkit、竊取數據或毀滅設備。
閱讀更多 十輪網 的文章