思科(Cisco)旗下的威胁情报组织Talos上个月披露了相信是由俄罗斯黑客集团Fancy Bear主导的VPNFilter攻击行动,该移动感染了全球54个国家的50万台网络设备,经过进一步分析后,Talos本周指出,VPNFilter的能力超乎当初的想象,不论是感染范围或是恶意模块的能力都更形严重。
根据Talos上个月的初步分析,VPNFilter锁定感染Linksys、MikroTik、NETGEAR与TP-Link等品牌的路由器,以及QNAP网络存储设备,也对基于Modbus SCADA协议的工业控制系统特别有兴趣,它能监控设备流量、窃取网站凭证,也可切断设备的联网能力或让设备无法使用,还能长久进驻受黑设备,无法借由简单的重开机移除它,而是得回复设备出厂配置。
然而,本周Talos发现太小看VPNFilter的能力了,它的感染范围不仅限于上述,还包括ASUS、 D-Link、华为、Ubiquiti、UPVEL与中兴等设备;所搭配的恶意模块ssller也能把HTTPS加密传输降级为HTTP传输,dstr模块则能移除VPNFilter的踪迹与设备运行的必要文件。
分析显示,ssller模块能够拦截该设备上所有借由port 80传送的流量,可窃取数据并注入JavaScript ,以用来攻陷同一网络所连接的其它设备,也试图将HTTPS传输降级至HTTP。
至于dstr模块则会移除设备正常运行所需的文件,以造成被黑设备失效,在移除设备上的文件之前,它会先抹灭VPNFilter移动的踪迹。
Talos警告,这些能力意味着如果黑客成功地入侵这些终端设备,即可于该环境中部署任何的恶意功能,像是rootkit、窃取数据或毁灭设备。
閱讀更多 十輪網 的文章
