圖片來源: 

Talos

思科(Cisco)旗下的威脅情報組織Talos上個月揭露了相信是由俄羅斯駭客集團Fancy Bear主導的VPNFilter攻擊行動,該行動感染了全球54個國家的50萬台網路裝置,經過進一步分析後,Talos本周指出,VPNFilter的能力超乎當初的想像,不論是感染範圍或是惡意模組的能力都更形嚴重。

根據Talos上個月的初步分析,VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器,以及QNAP網路儲存裝置,也對基於Modbus SCADA協定的工業控制系統特別有興趣,它能監控裝置流量、竊取網站憑證,亦可切斷裝置的連網能力或讓裝置無法使用,還能長久進駐受駭裝置,無法藉由簡單的重開機移除它,而是得回復裝置出廠配置。

然而,本周Talos發現太小看VPNFilter的能力了,它的感染範圍不僅限於上述,還包括ASUS、D-Link、華為、Ubiquiti、UPVEL與中興等裝置;所搭配的惡意模組ssller亦能把HTTPS加密傳輸降級為HTTP傳輸,dstr模組則能移除VPNFilter的蹤跡與裝置運作的必要檔案。

分析顯示,ssller模組能夠攔截該裝置上所有藉由port 80遞送的流量,可竊取資料並注入JavaScript,以用來攻陷同一網路所連結的其它裝置,亦試圖將HTTPS傳輸降級至HTTP。

至於dstr模組則會移除裝置正常運作所需的檔案,以造成被駭裝置失效,在移除裝置上的檔案之前,它會先抹滅VPNFilter行動的蹤跡。

Talos警告,這些能力意味著假使駭客成功地入侵這些終端裝置,即可於該環境中部署任何的惡意功能,像是rootkit、竊取資料或毀滅裝置。

熱門新聞

Advertisement