美國聯邦調查局(FBI)控制了一個大型殭屍網絡,據信該網絡是由為克里姆林宮工作的黑客控制的。該惡意軟件名為 VPNFilter,是由 CISCO Talos 的研究人員發現的。 VPNFilter 允許黑客劫持路由器,將其轉變為惡意 VPN 網絡,黑客可以使用該網絡在二次攻擊期間掩蓋其真實 IP 地址。
根據昨天發布的一份報告,該有效負載至少自 2016 年起就一直在野外傳播。據信該有效負載已感染了 54 個國家的約 50 萬台機器。根據塔洛斯的說法,模塊化惡意軟件系統的複雜性可能意味著這是一次由國家支持的攻擊。
FBI 探員有聲稱威脅行為者很可能是 Sofacy——一個由克里姆林宮控制的黑客組織,在過去五年中以多個名字為人所知(APT28、Sednit、Fancy Bears、Pawn Storm、Grizzly Steppe、STRONTIUM 和 Tsar Team)。從宣誓書:
“Sofacy 組織是一個網絡間諜組織,據信起源於俄羅斯。該組織可能自 2007 年開始運營,眾所周知,通常以政府、軍隊、安全組織和其他具有情報價值的目標為目標。”
與其他基於路由器的漏洞一樣,VPNFilter 採用多階段攻擊向量。一旦安裝在受害者的路由器上,它就會與命令和控制(CnC)服務器進行通信,以下載額外的有效負載。
該漏洞的第二階段允許黑客攔截流量、竊取數據、執行文件收集和執行命令。也有可能傳遞了額外的有效負載,感染了連接到路由器的網絡設備。不過根據塔洛斯的說法:
“這該行為者針對的設備類型很難防禦。它們經常位於網絡外圍,沒有適當的入侵保護系統 (IPS),並且通常沒有可用的基於主機的保護系統,例如防病毒 (AV) 軟件包。 ”
聯邦調查局接管
經過幾個月的監控,與聯邦調查局合作的安全研究人員能夠查明經驗豐富的黑客所使用的域名。根據昨天提交的宣誓書,特工們自 8 月份以來一直在處理此案,當時一名匹茲堡居民自願允許他們訪問受感染的路由器。
感染消息公佈後,聯邦調查局迅速採取行動,從賓夕法尼亞州一名法官那裡獲得了控制權。toKnowAll.com領域。
現在,CnC 域已處於 FBI 的控制之下,世界各地擁有危險路由器的消費者都被要求重新啟動其設備,以便能夠打電話回家。這將使聯邦政府清楚地了解世界各地有多少設備受到影響。
FBI 表示,打算列出所有受感染的 IP 地址,以便聯繫 ISP、私營和公共部門合作夥伴,在全球感染後進行清理,然後再設置新的惡意 CnC 服務器來重建殭屍網絡。
你相信聯邦調查局嗎?
雖然對於大多數人來說,這個消息似乎是好人的成功故事,但作為數字隱私倡導者,很難不聽到警鐘響起。 eeshanaviation.com 團隊對 FBI 收購這個強大的殭屍網絡感到有點不安。雖然聯邦調查局可以使用收集到的數據來通知受感染方並解決問題,但如何阻止他們使用殭屍網絡部署自己的有效負載呢?
賽門鐵克技術總監 Vikram Thakur 表示,
“法院命令只允許 FBI 監控受害者 IP 地址等元數據,而不是內容”。塔庫爾認為“惡意軟件不會向聯邦調查局發送受害者的瀏覽器歷史記錄或其他敏感數據”。
鑑於特工的宣誓書要求將整個事件“保密”30天以協助調查,人們不禁懷疑聯邦調查局最近的言論是否真的符合其議程。
恢復出廠設置還是換新路由器?
因此,如果您真正重視隱私,並且也許您實際上更喜歡將數據發送給克里姆林宮的黑客而不是聯邦調查局 - 我們建議您做的不僅僅是打開和關閉路由器。賽門鐵克有建議:
“對設備執行硬重置(恢復出廠設置)應將其擦除乾淨並刪除第 1 階段。對於大多數設備,可以通過在重新啟動設備時按住一個小的重置開關來完成此操作。但是,請記住,應備份存儲在路由器上的任何配置詳細信息或憑據,因為這些將被硬重置擦除。”
然而,絕對確定您的路由器沒有受到美國政府損害的唯一方法可能是出去購買一台新路由器。
以下是所有已知受影響的路由器和 QNAP 網絡附加存儲 (NAS) 設備的列表:
- 林克系統E1200
- 林克系統E2500
- Linksys WRVS4400N
- 適用於雲核心路由器的 Mikrotik RouterOS:版本 1016、1036 和 1072
- 美國網件DGN2200
- 網件R6400
- 網件R7000
- 網件R8000
- 美國網件 WNR1000
- 美國網件WNR2000
- 威聯通 TS251
- 威聯通 TS439 Pro
- 其他運行 QTS 軟件的 QNAP NAS 設備
- TP-Link R600VPN
意見是作者自己的。
標題圖片來源:官方 VPNFilter 圖片來自 Talos
圖片來源:Dzelat/Shutterstock.com、WEB-DESIGN/Shutterstock.com