FBI昨天对俄罗斯黑客采取了行动，根据法院的命令抓住属于VPNFilter恶意软件命令和控制基础设施的部分域名，这实质上是将恶意软件的攻击重定向到FBI控制的服务器。

FBI探长Bob Johnson在一份声明中表示：“FBI不会允许恶意的网络行为者，无论他们是否由政府资助或是自由行动。这些黑客正在利用漏洞，并将美国人的隐私和网络安全置于风险之中。”

在周二的一份报道中，Talos威胁研究人员首次提供了有关VPNFilter恶意软件的详细信息，Talos的博客中写道全球范围内（包括美国在内的54个国家）至少有50万台路由器和存储设备被攻击。

Talos的美国安全研究人员和思科的安全威胁研究团队认为，这种威胁与APT28直接相关。APT28也被称为Fancy Bear，是2016年美国总统竞选期间负责黑客事件的两个俄罗斯团队之一。

受影响的设备包括Linksys，MikroTik，NETGEAR，TP-Link路由器和QNAP网络附加存储（NAS）。其中一些供应商，包括NETGEAR公布了客户应该采取的更新固件和防止恶意软件的步骤。

VPNFilter攻击机制

Symantec和思科都是威胁情报共享组织Cyber Threat Alliance的成员，该组织发布一个关于多阶段恶意软件的博客。

第一阶段是安装，该恶意软件通过这个方式在设备商持久存在，并联系命令与控制服务器以下载恶意插件。

第二阶段和第三阶段是恶意软件的破坏阶段，第二阶段恶意软件窃取数据并控制设备，使其无法使用。第三阶段的模块充当第二阶段的插件。Symantec称：“这包括一个数据包探测器，用于监测通过设备发送的流量，包括窃取网站证书和监控Modbus SCADA协议。另一个第三阶段的模块使得第二极端能够使用Tor进行通信。”

安全研究人员建议重新启动受感染的设备，安装最新的可用修补程序和固件更新以及更改默认密码来确保安全。立即重新启动受感染的设备将删除恶意的第2阶段和第3阶段组件。但是阶段1仍将保留在设备上，这意味着黑客可以重新安装。

FBI采取的行动在第一阶段之后进行，而不是向命令和控制基础设施报告，代码能够连接回FBI服务器，这使得FNI能够捕获受感染设备的IP地址。

根据美国司法部的声明，非营利性合作伙伴组织Shadowserver Foundation将向那些可以协助修复VPNFilter僵尸网络的人员发布IP地址，包括外国CERT和互联网服务提供商（ISP）。