近日,Canthink网络安全攻防实验室发现了一个被黑客入侵的大型路由器僵尸网络,似乎正在准备对乌克兰进行网络攻击,该僵尸网络是通过一种名为VPNFilter的新型恶意软件感染家庭路由器而创建的。
据悉,这种恶意软件与其他物联网的恶意软件相比是极其复杂的,其行为相当具有破坏性,且对启动缓慢(与第二物联网/路由器的恶意软件相同)、扫描SCADA元件和固件雨刷/破坏性功能丧失的受影响设备提供支持。
Canthink研究员表示,这是与BlackEnergy代码重叠的一种恶意软件,其在2015及2016年冬季被用于削弱乌克兰电网。美国国土安全部及能源部已确定俄罗斯cyber-spies BlackEnergy恶意软件的制造者即为此前乌克兰电网袭击的肇事者。目前,Canthink安全专家认为,俄罗斯可能正使用受感染路由器的僵尸网络准备发动对乌克兰的第二次袭击。
VPNFilter恶意软件存在于Linksys、MikroTik、NETGEAR、TP-Link及QNAP NAS生产的超5000000路由器上,Canthink网络安全攻防实验室研究在以下设备上发现了VPNFilter恶意软件:
据了解,虽然在2016年就有这个僵尸网络存在的迹象,但其近几个月开始进行强烈的扫描活动,并发展到一个巨大的规模:受感染的设备横跨54个国家。不过,僵尸网络的创建者过去几周似乎一直专注于感染位于乌克兰在路由器和物联网设备,甚至创建了专用的命令和控制服务器来管控这些设备。
虽然目前还不清楚他们的真正意图,但随着僵尸网络运营的加强,新的攻击随时都可能到来。据专家推测,集中进行网络攻击的时间可能在本周六(5月26日),即今年将于乌克兰首都基辅举行的欧洲冠军足球联赛;另一个可能的日期是乌克兰宪法日,即6月27日的NotPetya网络攻击日。
Canthink研究人员表示,已经发现了恶意软件第三阶段攻击的插件,其将嗅探网络数据包并拦截流量、监视Modbus SCADA协议的存在、通过Tor网络与C&C服务器通信,VPNFilter运营商在此之前可能尚未部署。
此外,还应了解到VPN过滤器是最危险的,因为它包含一个自毁功能,可以覆盖设备固件的关键部分,并重启设备,这也将导致设备无法使用。
领取专属 10元无门槛券
私享最新 技术干货