FBI对俄罗斯黑客进行攻击,抓住VPNFilter恶意软件域

FBI昨天对俄罗斯黑客采取了行动,根据法院的命令抓住属于VPNFilter恶意软件命令和控制基础设施的部分域名,这实质上是将恶意软件的攻击重定向到FBI控制的服务器。

FBI探长Bob Johnson在一份声明中表示:“FBI不会允许恶意的网络行为者,无论他们是否由政府资助或是自由行动。这些黑客正在利用漏洞,并将美国人的隐私和网络安全置于风险之中。”

在周二的一份报道中,Talos威胁研究人员首次提供了有关VPNFilter恶意软件的详细信息,Talos的博客中写道全球范围内(包括美国在内的54个国家)至少有50万台路由器和存储设备被攻击。

Talos的美国安全研究人员和思科的安全威胁研究团队认为,这种威胁与APT28直接相关。APT28也被称为Fancy Bear,是2016年美国总统竞选期间负责黑客事件的两个俄罗斯团队之一。

受影响的设备包括Linksys,MikroTik,NETGEAR,TP-Link路由器和QNAP网络附加存储(NAS)。其中一些供应商,包括NETGEAR公布了客户应该采取的更新固件和防止恶意软件的步骤。

VPNFilter攻击机制

Symantec和思科都是威胁情报共享组织Cyber Threat Alliance的成员,该组织发布一个关于多阶段恶意软件的博客。

第一阶段是安装,该恶意软件通过这个方式在设备商持久存在,并联系命令与控制服务器以下载恶意插件。

第二阶段和第三阶段是恶意软件的破坏阶段,第二阶段恶意软件窃取数据并控制设备,使其无法使用。第三阶段的模块充当第二阶段的插件。Symantec称:“这包括一个数据包探测器,用于监测通过设备发送的流量,包括窃取网站证书和监控Modbus SCADA协议。另一个第三阶段的模块使得第二极端能够使用Tor进行通信。”

安全研究人员建议重新启动受感染的设备,安装最新的可用修补程序和固件更新以及更改默认密码来确保安全。立即重新启动受感染的设备将删除恶意的第2阶段和第3阶段组件。但是阶段1仍将保留在设备上,这意味着黑客可以重新安装。

FBI采取的行动在第一阶段之后进行,而不是向命令和控制基础设施报告,代码能够连接回FBI服务器,这使得FNI能够捕获受感染设备的IP地址。

根据美国司法部的声明,非营利性合作伙伴组织Shadowserver Foundation将向那些可以协助修复VPNFilter僵尸网络的人员发布IP地址,包括外国CERT和互联网服务提供商(ISP)。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2018-05-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

恶意软件伪装成IIS收集用户表单数据

微软的Windows操作系统平台因为用户基数庞大,屡屡被别有用心的黑客们盯上。然而,最近一个攻击事件,却与往常的不太一样。Trustwave SpiderLab...

3305
来自专栏海天一树

2.5亿融资引发的血案:中国红芯依然是谷歌芯

中午吃饭的时候,把红芯浏览器的融资故事,给做区块链发空气币的朋友简单讲了一下。他气得拍起了桌子:“这TM是诈骗啊,兄弟。

1011
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

31110
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-4 FB70过账客户发票

4.5 过帐客户发票 客户发票可从销售与分销模块(SD) 或财务模块(FI)创建. SAP BestPractices 解决方案中, 若销售与分销模块(SD)...

3625
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

1044
来自专栏企鹅号快讯

互金安全哪家强?专委会发现7210个互金网站漏洞!

日前国家互联网金融安全技术专家委员会发布了互联网金融网站漏洞分析报告,专委会表示,互联网金融信息系统在运行过程中一旦发生数据泄露、盗取和篡改等事件,会让各方都蒙...

2009
来自专栏买了域名没法用

我在腾讯注册了个域名,不在腾讯买服务器可以备案么?

2.我走通信管理局备案流程 给域名进行备案,成功之后 腾讯这里可以解析ip访问域名吗

6106
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

38511
来自专栏Debian社区

这是一场战争 Debian技术委员会已经八去其三

围绕Debian选择初始化系统systemd所引发的争论让三名资深成员先后宣布从Debian技术委员会辞职。Russ Allbery和Colin Watson在...

1043
来自专栏腾讯云安全的专栏

Petya 来袭,腾讯云快速响应提供安全解决方案

腾讯云联合电脑管家发现相关样本在国内出现,腾讯云已第一时间启动用户防护引导,到目前为止,云上用户尚无感染案例,但建议没打补丁用户尽快打补丁避免感染风险。

3.1K0

扫码关注云+社区