FBI昨天对俄罗斯黑客采取了行动,根据法院的命令抓住属于VPNFilter恶意软件命令和控制基础设施的部分域名,这实质上是将恶意软件的攻击重定向到FBI控制的服务器。
FBI探长Bob Johnson在一份声明中表示:“FBI不会允许恶意的网络行为者,无论他们是否由政府资助或是自由行动。这些黑客正在利用漏洞,并将美国人的隐私和网络安全置于风险之中。”
在周二的一份报道中,Talos威胁研究人员首次提供了有关VPNFilter恶意软件的详细信息,Talos的博客中写道全球范围内(包括美国在内的54个国家)至少有50万台路由器和存储设备被攻击。
Talos的美国安全研究人员和思科的安全威胁研究团队认为,这种威胁与APT28直接相关。APT28也被称为Fancy Bear,是2016年美国总统竞选期间负责黑客事件的两个俄罗斯团队之一。
受影响的设备包括Linksys,MikroTik,NETGEAR,TP-Link路由器和QNAP网络附加存储(NAS)。其中一些供应商,包括NETGEAR公布了客户应该采取的更新固件和防止恶意软件的步骤。
VPNFilter攻击机制
Symantec和思科都是威胁情报共享组织Cyber Threat Alliance的成员,该组织发布一个关于多阶段恶意软件的博客。
第一阶段是安装,该恶意软件通过这个方式在设备商持久存在,并联系命令与控制服务器以下载恶意插件。
第二阶段和第三阶段是恶意软件的破坏阶段,第二阶段恶意软件窃取数据并控制设备,使其无法使用。第三阶段的模块充当第二阶段的插件。Symantec称:“这包括一个数据包探测器,用于监测通过设备发送的流量,包括窃取网站证书和监控Modbus SCADA协议。另一个第三阶段的模块使得第二极端能够使用Tor进行通信。”
安全研究人员建议重新启动受感染的设备,安装最新的可用修补程序和固件更新以及更改默认密码来确保安全。立即重新启动受感染的设备将删除恶意的第2阶段和第3阶段组件。但是阶段1仍将保留在设备上,这意味着黑客可以重新安装。
FBI采取的行动在第一阶段之后进行,而不是向命令和控制基础设施报告,代码能够连接回FBI服务器,这使得FNI能够捕获受感染设备的IP地址。
根据美国司法部的声明,非营利性合作伙伴组织Shadowserver Foundation将向那些可以协助修复VPNFilter僵尸网络的人员发布IP地址,包括外国CERT和互联网服务提供商(ISP)。