信息化觀察網

上月，美國和英國政府正式指控俄羅斯大規(guī)模攻擊家庭和辦公室路由器。星期三，Cisco Talos的網絡安全研究人員公布了他們的調查結果：俄羅斯黑客攻擊了50萬臺路由器，其中大多數是來自烏克蘭。

據稱，當前攻擊路由器的黑客同在2016年攻擊民主黨全國委員會的黑客來自同一個組織，研究人員警告說，他們能夠同時封殺眾多設備，劫持大多數用戶的網絡。

Cisco Talos在報告中寫道，黑客在很多路由器供應商的路由器設備上裝一個名為VPNFilter的惡意軟件，供應商包括Linksys，MikroTik， Netgear和 TP-Link，因為這些路由器曾被爆出有漏洞。總共有54個國家的用戶受到影響，但是大多數的目標用戶都是來自烏克蘭，設備受到攻擊的速度很是驚人。VPNFilter和俄羅斯的一款間諜工具有類似的代碼，該間諜工具名為BlackEnergy，曾被用來攻擊烏克蘭的電力供應商。

這一攻擊最少可以追溯到2016年，但是國土安全部和英國國家網絡安全中心于四月份發(fā)出警告，黑客正計劃進行更加嚴重的網絡攻擊。（國家網絡安全中心告知Forbes他們不能確定對俄羅斯黑客的攻擊研究和Cisco的研究結果有沒有共通之處。）

攻擊者有可能是想使用一種封殺軟件讓大多數用戶的設備下線。“這款惡意軟件的破壞力在于能夠使受影響的設備無法使用，這一操作能影響單獨的設備，也可以一次性影響多個設備，同時也有可能切斷世界范圍內幾十萬用戶的網絡。”Cisco研究人員寫道。

除了能夠觸發(fā)世界范圍內破壞性的攻擊，這款惡意軟件也能夠對受影響設備的流量進行監(jiān)控，來竊取諸如網頁登陸細節(jié)的數據。從更深層次來說，VPNFilter能夠監(jiān)控在重要基礎設施環(huán)境下運行的軟件，黑客通過使用Tor Network也對其自身的通訊進行了加密處理。

Martin Lee是Cisco Talos安全研究的一名技術主管，他表示并不會將這一攻擊行為歸咎于某一個國家，但是將他們同黑客組織APT28聯(lián)系起來，而美國將這一組織同俄羅斯聯(lián)系起來，并且指控其在2016總統(tǒng)選舉之前對民主黨全國委員會的攻擊事件。

Lee也特別關心對關鍵基礎設施的潛在攻擊。“我們現在還擔心這一惡意軟件的模塊會指向MODBUS協(xié)議，這是一種用在發(fā)電廠或者鐵路道岔控制上操控工業(yè)控制系統(tǒng)的一個協(xié)議。”他向Forbes說道。

“這個惡意軟件和之前攻擊烏克蘭的電力供應的軟件BlackEnergy有許多相似之處...更重要的是，企業(yè)組織應該采取必要的措施，防止諸如水力和電力供應的工業(yè)系統(tǒng)受到類似的攻擊。”

可能遭受的攻擊

Cisco稱他們對此進行了一次警告，因為近期黑客會對烏克蘭進行攻擊。公司研究人員發(fā)現自5月8日，VPNFilter感染的設備數量激增。路透社報道，烏克蘭戰(zhàn)略業(yè)務單元國家安全服務認為俄羅斯正計劃在本周的基輔舉辦的歐洲足球協(xié)會聯(lián)盟冠軍聯(lián)賽決賽之前發(fā)起一次攻擊。

他們并不相信設備會被很快地清除。“由于受到影響設備的性質，所以想要防止這一威脅還是很困難的。”報道繼續(xù)寫道。“大多數的設備都是直接連接到互聯(lián)網的，之間并沒有安全設備或者服務，以及潛在的攻擊者。這一挑戰(zhàn)變大的原因在于大多數受到攻擊的設備都有公共熟知的漏洞，但是普通用戶又不方便對這一漏洞進行修復。”

這一消息是人們對俄羅斯網上間諜行為恐慌之時發(fā)布的。今年四月份，Jeremy Fleming在他擔任GCHQ主管時發(fā)表的第一次演講中，公布克里姆林宮“無法接受的”網上行為。

與此同時，俄羅斯也公開譴責這一網上行為，并堅決否認美國和英國政府于四月份對其的控告。

美國國家計算機安全中心發(fā)言人就Cisco的研究結果表示：“這一研究及時地提醒了企業(yè)組織和家庭用戶，讓他們了解保護其系統(tǒng)免受網絡威脅的基本知識。”

“我們積極鼓勵用戶遵守開發(fā)商的建議，保證安裝了最新的軟件補丁，并且使用實時殺毒軟件。”

原文作者：Thomas Fox-Brewster