上月,美国和英国政府正式指控俄罗斯大规模攻击家庭和办公室路由器。星期三,Cisco Talos的网络安全研究人员公布了他们的调查结果:俄罗斯黑客攻击了50万台路由器,其中大多数是来自乌克兰。
据称,当前攻击路由器的黑客同在2016年攻击民主党全国委员会的黑客来自同一个组织,研究人员警告说,他们能够同时封杀众多设备,劫持大多数用户的网络。
Cisco Talos在报告中写道,黑客在很多路由器供应商的路由器设备上装一个名为VPNFilter的恶意软件,供应商包括Linksys,MikroTik, Netgear和 TP-Link,因为这些路由器曾被爆出有漏洞。总共有54个国家的用户受到影响,但是大多数的目标用户都是来自乌克兰,设备受到攻击的速度很是惊人。VPNFilter和俄罗斯的一款间谍工具有类似的代码,该间谍工具名为BlackEnergy,曾被用来攻击乌克兰的电力供应商。
这一攻击最少可以追溯到2016年,但是国土安全部和英国国家网络安全中心于四月份发出警告,黑客正计划进行更加严重的网络攻击。(国家网络安全中心告知Forbes他们不能确定对俄罗斯黑客的攻击研究和Cisco的研究结果有没有共通之处。)
攻击者有可能是想使用一种封杀软件让大多数用户的设备下线。“这款恶意软件的破坏力在于能够使受影响的设备无法使用,这一操作能影响单独的设备,也可以一次性影响多个设备,同时也有可能切断世界范围内几十万用户的网络。”Cisco研究人员写道。
除了能够触发世界范围内破坏性的攻击,这款恶意软件也能够对受影响设备的流量进行监控,来窃取诸如网页登陆细节的数据。从更深层次来说,VPNFilter能够监控在重要基础设施环境下运行的软件,黑客通过使用Tor Network也对其自身的通讯进行了加密处理。
Martin Lee是Cisco Talos安全研究的一名技术主管,他表示并不会将这一攻击行为归咎于某一个国家,但是将他们同黑客组织APT28联系起来,而美国将这一组织同俄罗斯联系起来,并且指控其在2016总统选举之前对民主党全国委员会的攻击事件。
Lee也特别关心对关键基础设施的潜在攻击。“我们现在还担心这一恶意软件的模块会指向MODBUS协议,这是一种用在发电厂或者铁路道岔控制上操控工业控制系统的一个协议。”他向Forbes说道。
“这个恶意软件和之前攻击乌克兰的电力供应的软件BlackEnergy有许多相似之处...更重要的是,企业组织应该采取必要的措施,防止诸如水力和电力供应的工业系统受到类似的攻击。”
可能遭受的攻击
Cisco称他们对此进行了一次警告,因为近期黑客会对乌克兰进行攻击。公司研究人员发现自5月8日,VPNFilter感染的设备数量激增。路透社报道,乌克兰战略业务单元国家安全服务认为俄罗斯正计划在本周的基辅举办的欧洲足球协会联盟冠军联赛决赛之前发起一次攻击。
他们并不相信设备会被很快地清除。“由于受到影响设备的性质,所以想要防止这一威胁还是很困难的。”报道继续写道。“大多数的设备都是直接连接到互联网的,之间并没有安全设备或者服务,以及潜在的攻击者。这一挑战变大的原因在于大多数受到攻击的设备都有公共熟知的漏洞,但是普通用户又不方便对这一漏洞进行修复。”
这一消息是人们对俄罗斯网上间谍行为恐慌之时发布的。今年四月份,Jeremy Fleming在他担任GCHQ主管时发表的第一次演讲中,公布克里姆林宫“无法接受的”网上行为。
与此同时,俄罗斯也公开谴责这一网上行为,并坚决否认美国和英国政府于四月份对其的控告。
美国国家计算机安全中心发言人就Cisco的研究结果表示:“这一研究及时地提醒了企业组织和家庭用户,让他们了解保护其系统免受网络威胁的基本知识。”
“我们积极鼓励用户遵守开发商的建议,保证安装了最新的软件补丁,并且使用实时杀毒软件。”
原文作者:Thomas Fox-Brewster
