VPNFilter状态关联的恶意软件对路由器构成致命威胁

自KRACK威胁到几乎所有连接到Wi-Fi网络的设备以来,已经过去了半年,但现在我们可能会感到更加恐惧。至少这是一种紧迫感,在某种程度上说,思科和赛门铁克的安全报告正在产生恐慌。人们相信模块化VPNFilter恶意软件被认为是州隶属的,或更糟的是由州赞助,已经感染了大约500,000台路由器,不仅收集了数据,而且甚至一按按钮就使它们完全无用。

毫无疑问,VPNFilter的工作方式非常出色。就像火箭一样,它由多个阶段组成,因此很难跟踪或修复。第1阶段将自身写入设备的内存中,以便即使重新启动设备也能幸免,这是大多数IoT恶意软件无法完成的任务。然后,它与命令和控制服务器连接以获取Stage 2恶意软件。尽管此问题不会在两次重启之间持续存在,但它是负责恶意软件的侵入性和破坏性行为的原因。

VPNFilter似乎是为间谍而设计的。它收集文件和信息,可以远程执行命令,并感染其他连接的设备。但是,它最可怕的功能是破坏路由器的固件,然后重新启动,这实际上是一种自毁机制,可以删除所有证据,当然也可以删除功能。

自2016年以来,思科的Talos Intelligence部门及其威胁情报合作伙伴一直在观察该恶意软件的存在和行为。它已感染了全球至少54个国家的500,000台路由器和网络连接的存储设备。在过去的几周里,攻击突然激增,特别是在乌克兰,这似乎是网络战争的最爱目标。赛门铁克发布了已知受VPNFilter影响的设备列表:

•Linksys的E1200

•Linksys的E2500

•Linksys的WRVS4400N

•的MikroTik RouterOS的云核心路由器:版本1016,1036和1072

•美国网件DGN2200

•美国网件R6400

•美国网件R7000

•美国网件R8000

•美国网件WNR1000

•美国网件WNR2000

•QNAP TS251

•QNAP TS439临

•其他运行QTS软件的QNAP NAS设备

•TP-Link R600VPN

可悲的是,这个故事还没有一个圆满的结局。由于这些设备的性质,几乎不可能通过常规的反恶意软件来保护它们免受攻击。并且由于VPNFilter的模块化特性,简单地重新启动或重置固件可能不足以清除设备。在为时已晚之前,要确定设备是否已被感染几乎也是不可能的。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢