联邦调查局建议消费级路由器和网络附加存储设备的用户尽快重启他们的设备以对付已经感染了数十万设备的俄罗斯工程恶意软件。
Ars Technica报道提到:在星期三,思科Talos安全团队的研究人员首先披露了恶意软件的存在。详细报告称该恶意软件感染了Linksys,Mikrotik,Netgear,QNAP和TP-Link制造的超过50万台设备。被称为VPNFilter的恶意软件允许攻击者收集用户通信内容,发动对他人的攻击,并通过单一命令永久销毁设备。该报告称,恶意软件是由为先进国家(可能是俄罗斯)工作的黑客开发的,并建议受影响路由器型号的用户执行恢复出厂设置或至少重新启动设备命令。当天晚些时候,The Daily Beast报道说VPNFilter确实是由俄罗斯黑客组织开发的,以各种名字命名,包括Sofacy,Fancy Bear,APT 28和Pawn Storm。
“每日野兽”还称,FBI已经渗透了一个被用作将恶意软件传输到已经被感染的并且已经到达初始化阶段1的设备的备份的互联网域名VPNFilter 。渗透意味着提供阶段2的主要和次要的诸多手段的其中3个已经被拆除,仅留下第三个依靠攻击者向每个受感染设备发送特殊数据包的备用手段。 用于交付后期阶段的冗余机制解决了VPNFilter中的一个基本缺陷 - 阶段2和阶段3在重新启动后无法生存的缺陷,这意味着只要设备重新启动,它们就会被清除干净。相反,只有第一阶段依然会被保留。据推测,一旦受感染的设备重新启动,第1阶段将导致它触及最近查获的ToKnowAll.com地址。联邦调查局关于重新启动小型办公室和家庭办公室路由器和NAS设备的建议利用了这一限制。在星期五发表的一份声明中,联邦调查局官员建议所有消费级路由器的用户,而不仅仅是那些已知易受VPNFilter攻击的用户,都需要立刻重启设备以保护自己的设备。
司法部和美国国土安全部也发布了一些声明,建议用户尽快重启路由器。
领取专属 10元无门槛券
私享最新 技术干货