圖片來源: 

Talos

思科(Cisco)旗下的威脅情報組織Talos本周三(5/23)揭露了一個已感染全球50萬台網路裝置的模組化惡意程式系統—VPNFilter,雖然它的感染範圍擴及全球54個國家,但主要目標為烏克蘭,相信是由俄國駭客集團Fancy Bear(又名Sofacy或APT 28)所主導,FBI則已經取得了法院的許可,接管了控制VPNFilter的網站,攔阻了駭客的大規模攻擊行動。

根據Talos的分析,VPNFilter可長久進駐於受駭裝置上,就算重開機也消滅不了它,它感染了Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器,以及QNAP網路儲存裝置,也對基於Modbus SCADA協定的工業控制系統特別有興趣,它能監控裝置流量、竊取網站憑證,還能切斷裝置的連網能力或讓裝置無法使用,擁有強大的破壞力。

VPNFilter是利用預設憑證或已知攻擊程式入侵裝置,而非開採全新的零時差漏洞。它分為3個攻擊階段(下圖,來源:Talos),一是登入裝置並與遠端的C&C伺服器建立連線,第二階段是自C&C伺服器下載可蒐集裝置資訊及破壞裝置能力的模組,第三階段則是下載能監控裝置流量與Modbus SCADA協定,以及竊取網站憑證的模組。

就算使用者重新開啟這些被駭的裝置,也只能移除第二與第三階段的模組,第一階段的VPNFilter元件仍會持續存在,只能藉由回復出廠預設值才能消滅它。

現階段資安業者尚不明瞭駭客的企圖,有鑑於VPNFilter的破壞力,駭客將有能力一次摧毀大量裝置的連網功能。

儘管VPNFilter鎖定的是烏克蘭,但它仍然感染了全球54個國家的路由器或NAS裝置,再加上它的感染規模達到50萬台,使得美國聯邦調查局(FBI)於本周取得了美國法院的命令,要求Verisign把駭客所使用的ToKnowAll.com網域名稱轉交給FBI,切斷了駭客與這些被駭裝置的聯繫管道,阻止了一場潛在的資安災難。


Advertisement

更多 iThome相關內容