信息化觀察網(wǎng)

思科Talos報(bào)道稱，一款名為VPNFilter的惡意軟件正瞄準(zhǔn)更多的路由器設(shè)備生產(chǎn)商和型號(hào)，并且擁有更加強(qiáng)大的破壞力，包括向終端發(fā)送漏洞信息，以及無視設(shè)備重啟。

剛開始，Talos團(tuán)隊(duì)發(fā)現(xiàn)VPNFilter已經(jīng)感染了54個(gè)國(guó)家的至少50萬(wàn)臺(tái)網(wǎng)絡(luò)設(shè)備，其中大多數(shù)都是消費(fèi)者級(jí)別的互聯(lián)網(wǎng)路由器。

到今年5月24日，受到該惡意軟件影響的設(shè)備大多是小型家居辦公室的網(wǎng)絡(luò)設(shè)備，受到影響的設(shè)備品牌包括Linksys、MikroTik、Netgear、和TP-Link，以及威聯(lián)通科技有限公司的網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備。

Talos團(tuán)隊(duì)在其最新的一條博客中更新了受到感染的設(shè)備列表，包括華碩、D-Link、華為、Ubiquiti、Upvel和中興。

他們還在Linksys、MikroTik、Netgear和TP-Link品牌的網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了更多受到感染的型號(hào)，但是這個(gè)思科旗下的公司說思科的網(wǎng)絡(luò)設(shè)備并沒有受到影響。

除了在列表中更新受到感染的設(shè)備，Talos團(tuán)隊(duì)稱他們?cè)?ldquo;第三階段”中發(fā)現(xiàn)了一個(gè)名為“ssler”的模塊，能夠在其經(jīng)過網(wǎng)絡(luò)設(shè)備時(shí)，向網(wǎng)絡(luò)流量注入惡意內(nèi)容，使得“入侵者”（actor）通過“中間人攻擊”（man-in-the-middle）向終端發(fā)送漏洞信息。

博客上解釋道：“通過這一新的發(fā)現(xiàn)，我們能夠確定惡意軟件的威脅能力遠(yuǎn)遠(yuǎn)超過‘入侵者’本身對(duì)網(wǎng)絡(luò)設(shè)備的影響，并且會(huì)將這個(gè)威脅擴(kuò)散到網(wǎng)絡(luò)設(shè)備所支持的網(wǎng)絡(luò)中。”

雖然在Talos團(tuán)隊(duì)報(bào)道之后，美國(guó)聯(lián)邦調(diào)查局就督促對(duì)小型辦公室或者家用路由器設(shè)備進(jìn)行重啟，但是這個(gè)并不能阻止這一軟件的威脅，即使是在重啟之后，ssler也會(huì)觸發(fā)惡意軟件，在受感染的設(shè)備上生成頑固的惡意內(nèi)容。

Ssler能夠通過攔截所有經(jīng)過端口80設(shè)備的流量，并加入JavaScript，從而向連接到受感染的網(wǎng)絡(luò)設(shè)備發(fā)送惡意代碼。Talos團(tuán)隊(duì)希望使用參數(shù)列表來執(zhí)行ssler模塊，這一列表能夠決定模塊有哪些惡意行為以及應(yīng)該將哪些網(wǎng)站作為目標(biāo)。

研究人員解釋道：ssler會(huì)攔截所有端口80上的外部網(wǎng)絡(luò)請(qǐng)求，并且在發(fā)送到合法的HTTP服務(wù)之前，這些網(wǎng)絡(luò)請(qǐng)求都會(huì)受到監(jiān)控。

Talos團(tuán)隊(duì)也發(fā)現(xiàn)了另一個(gè)第三階段的模塊，設(shè)備破壞模塊（dstr），即能夠?yàn)槿鄙俜鈿⒃O(shè)備命令的第二階段提供禁用設(shè)備的能力。

它能夠在“自毀”后觸發(fā)封殺路由器設(shè)備的命令，然后刪除剩下的相關(guān)文件，從設(shè)備中刪除VPNFiler惡意軟件的冗余文件，然后讓設(shè)備無法使用。

Talos團(tuán)隊(duì)稱，新的發(fā)現(xiàn)表明VPNFilter所帶來的威脅愈加嚴(yán)峻。

研究人員寫道：“除了在其它目標(biāo)設(shè)備和供應(yīng)商發(fā)現(xiàn)這一威脅的影響范圍廣之外，以及惡意軟件的支持端點(diǎn)設(shè)備開發(fā)能力，使得這一惡意軟件不僅僅會(huì)威脅到設(shè)備本身，而且也會(huì)威脅這些設(shè)備支持的網(wǎng)絡(luò)。”

“如果成功的話，‘入侵者’就能夠在環(huán)境中部署任何想要部署的功能，從而實(shí)現(xiàn)他們的攻擊目的，包括部署rootkits、數(shù)據(jù)泄露功能以及具有破壞能力的惡意軟件。”

Known infected devices include:

目前已知受感染的設(shè)備型號(hào)包括：

華碩: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U和 RT-N66U.

D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000和DSR-1000N；

華為: HG8245；

Linksys: E1200, E2500, E3000 E3200, E4200, RV082和WRVS4400N；

Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik和STX5；

Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN和UTM50；

QNAP: TS251, TS439 Pro和其它運(yùn)行QTS 軟件的威聯(lián)通科技有限公司的網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備；

TP-Link: R600VPN, TL-WR741ND和TL-WR841N；

Ubiquiti: NSM2和PBE M5；

中興: ZXHN H108N。

攻擊Upvel的惡意軟件也被發(fā)現(xiàn)，但是廠商并未對(duì)這些設(shè)備進(jìn)行隔離。

原文作者：Asha McLean