思科Talos报道称,一款名为VPNFilter的恶意软件正瞄准更多的路由器设备生产商和型号,并且拥有更加强大的破坏力,包括向终端发送漏洞信息,以及无视设备重启。
刚开始,Talos团队发现VPNFilter已经感染了54个国家的至少50万台网络设备,其中大多数都是消费者级别的互联网路由器。
到今年5月24日,受到该恶意软件影响的设备大多是小型家居办公室的网络设备,受到影响的设备品牌包括Linksys、MikroTik、Netgear、和TP-Link,以及威联通科技有限公司的网络附加存储设备。
Talos团队在其最新的一条博客中更新了受到感染的设备列表,包括华硕、D-Link、华为、Ubiquiti、Upvel和中兴。
他们还在Linksys、MikroTik、Netgear和TP-Link品牌的网络设备中发现了更多受到感染的型号,但是这个思科旗下的公司说思科的网络设备并没有受到影响。
除了在列表中更新受到感染的设备,Talos团队称他们在“第三阶段”中发现了一个名为“ssler”的模块,能够在其经过网络设备时,向网络流量注入恶意内容,使得“入侵者”(actor)通过“中间人攻击”(man-in-the-middle)向终端发送漏洞信息。
博客上解释道:“通过这一新的发现,我们能够确定恶意软件的威胁能力远远超过‘入侵者’本身对网络设备的影响,并且会将这个威胁扩散到网络设备所支持的网络中。”
虽然在Talos团队报道之后,美国联邦调查局就督促对小型办公室或者家用路由器设备进行重启,但是这个并不能阻止这一软件的威胁,即使是在重启之后,ssler也会触发恶意软件,在受感染的设备上生成顽固的恶意内容。
Ssler能够通过拦截所有经过端口80设备的流量,并加入JavaScript,从而向连接到受感染的网络设备发送恶意代码。Talos团队希望使用参数列表来执行ssler模块,这一列表能够决定模块有哪些恶意行为以及应该将哪些网站作为目标。
研究人员解释道:ssler会拦截所有端口80上的外部网络请求,并且在发送到合法的HTTP服务之前,这些网络请求都会受到监控。
Talos团队也发现了另一个第三阶段的模块,设备破坏模块(dstr),即能够为缺少封杀设备命令的第二阶段提供禁用设备的能力。
它能够在“自毁”后触发封杀路由器设备的命令,然后删除剩下的相关文件,从设备中删除VPNFiler恶意软件的冗余文件,然后让设备无法使用。
Talos团队称,新的发现表明VPNFilter所带来的威胁愈加严峻。
研究人员写道:“除了在其它目标设备和供应商发现这一威胁的影响范围广之外,以及恶意软件的支持端点设备开发能力,使得这一恶意软件不仅仅会威胁到设备本身,而且也会威胁这些设备支持的网络。”
“如果成功的话,‘入侵者’就能够在环境中部署任何想要部署的功能,从而实现他们的攻击目的,包括部署rootkits、数据泄露功能以及具有破坏能力的恶意软件。”
Known infected devices include:
目前已知受感染的设备型号包括:
华硕: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U和 RT-N66U.
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000和DSR-1000N;
华为: HG8245;
Linksys: E1200, E2500, E3000 E3200, E4200, RV082和WRVS4400N;
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik和STX5;
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN和UTM50;
QNAP: TS251, TS439 Pro和其它运行QTS 软件的威联通科技有限公司的网络附加存储设备;
TP-Link: R600VPN, TL-WR741ND和TL-WR841N;
Ubiquiti: NSM2和PBE M5;
中兴: ZXHN H108N。
攻击Upvel的恶意软件也被发现,但是厂商并未对这些设备进行隔离。
原文作者:Asha McLean
