資安研究人員發表了一份報告,指出駭客利用惡意軟體 VPNFilter 感染至少54個國家,超過50萬台家用和小型企業路由器。這惡意軟體可以操縱受感染路由器進行攻擊、收集資料和進行通訊、竊取重要憑證、監視資料採集與監控系統(SCADA)協定,並且會安裝自殺指令來讓受感染設備無法使用。這些動作可以被單獨觸發或集中觸發。這波攻擊從2016年就已經開始,但在最近幾週突然大量增加,尤其是在烏克蘭。
根據研究人員對VPNFilter的觀察,這是種很複雜的模組化、多階段惡意軟體,會影響到商用路由器和NAS設備,並且分成三個階段進行散播和感染。
第一階段進行散播,目標設備是使用Busybox和Linux韌體的多種CPU架構。接著到Photobucket.com下載圖檔來取得IP地址以找到第二階段的伺服器。它的命令和控制(C&C)還有備用機制,像是如果Photobucket無法連上就會從ToKnowAll.com下載。它還會接收來自攻擊者的指令,從api.ipify.org檢查IP並儲存下來備用。在此階段就算是重新啟動設備,核心惡意程式碼也仍然存在於受感染系統中。
第二階段進行情報收集,如收集檔案、執行命令、管理設備和資料取出。它還部署了自毀能力。它能夠評估受感染設備的網路價值,特別是關於駭客感興趣的系統。駭客接著可以決定是否要利用此網路繼續收集資料,或利用系統的網路連線來進行散播。此階段的自毀功能會覆寫設備的重要部分再進行重啟,一旦攻擊者觸發內建的自殺指令就會破壞韌體,讓設備無法回復。 繼續閱讀
