前情提要

思科公司的安全研究员表示，已检测到由被黑路由器组成的一个庞大僵尸网络，它的攻击目标似乎指向乌克兰。

研究人员指出，攻击者通过名为“VPNFilter”的新型恶意软件网络感染家庭路由器，然后组建僵尸网络。和其它物联网恶意软件相比，这个僵尸网络极其复杂，而且还支持引导持续性(目前发现的第二款具有此能力的物联网/路由器恶意软件)、支持扫描 SCADA 组件，且具有导致受影响设备无法使用的固件破坏功能。

　　俄罗斯最可能是幕后黑手

思科安全研究员发现这款僵尸网络的代码和BlackEnergy恶意软件网络的代码存在相同部分。回顾2015年冬和2016年，攻击者利用BlackEnergy攻击乌克兰电网事件。

　　乌克兰电网事件回顾

针对乌克兰电力工业的新一轮攻击

　　时隔一年，乌克兰再次发生大规模停电事件

美国国土安全部认为俄罗斯网络间谍是BlackEnergy恶意软件以及攻击乌克兰电力网的幕后黑手。

多个国家已指责俄罗斯发动最初针对乌克兰的NotPetya勒索软件攻击。虽然这些国家并未发出官方声明，但很多人认为俄罗斯发动了“坏兔子(Bad Rabbit)”勒索攻击，而且它主要针对的同样是位于乌克兰的公司。

俄罗斯还被认为是韩国2018年冬奥会开幕式传播“Olympic Destroyer”恶意软件的罪魁祸首。俄罗斯可能因国际奥委会禁止参赛一事发动了攻击。

目前，安全专家认为俄罗斯可能正在准备对乌克兰发动新一轮攻击，这次使用的也许就是受感染路由器的僵尸网络。

　　VPNFilter僵尸网络由50多万台被黑设备组成

思科表示不但从由Linksys、MikroTik、网件公司和TP-Link生产的50多万台路由器中而且从QNAP NAS设备中发现了VPNFilter恶意软件。思科表示从下列设备中发现了这款VPNFilter恶意软件：

Linksys E1200

Linksys E2500

Linksys WRVS4400N

服务于Cloud Core路由器的Mikrotik RouterOS：版本1016、1036和1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

运行QTS软件的其它QNAP NAS设备

TP-Link R600VPN

这个僵尸网络早在2016年就已出现，不过研究人员表示攻击者在最近几个月才开始大规模地开展扫描活动，僵尸网络因此得以迅速扩展。

虽然受感染设备遍布54个国家，但思科安全研究员表示最近几周僵尸网络的创建者在集中感染位于乌克兰的路由器和物联网设备，甚至还创建了专门的服务器管理这些乌克兰僵尸网络设备。虽然目前尚不清楚攻击者目的，不过思科安全研究员担心，按照目前僵尸网络的发展态势，要不了多久就会出现新型攻击。

思科安全研究员 甚至连时间都预测出来：

预测时间一：5月26日，届时欧洲冠军联赛决赛将于乌克兰首都基辅拉开序幕；

　　预测时间二：6月27日，乌克兰宪法日，去年NotPetya攻击的发动日期也正好是这个时间；

　　VPNFilter非常复杂

思科专家警告称，VPNFilter 恶意软件是迄今为止最为复杂的物联网/路由器恶意软件僵尸网络之一，而且能够实施非常具有破坏性的行为。

这款僵尸网络分三步行动。

第一个阶段：僵尸网络轻量又简单，它的唯一作用是感染设备并获取引导持续性。几周前才出现首款能够在设备重启后存活的物联网僵尸网络“捉迷藏(Hide and Seek)”。不过赛门铁克公司在一份报告中指出，用户可通过所为的“硬重置”即恢复到出厂设置的方式删除这个阶段的恶意软件。

　　第二个阶段：VPNFilter恶意软件模块虽然无法在设备重启后存活，但可以在用户重启(并清理)设备时依靠第一阶段的模块重新下载该模块。

第二个阶段模块的主要作用是为第三个阶段的插件提供插件基础架构支持。

　　第三个阶段：有点厉害

嗅探网络包并拦截流量

　　监控是否存在Modbus SCADA协议

　　通过Tor网络和C&C服务器通信

思科怀疑VPNFilter的操纵人员已经创建了其它此前并未部署的模块。

　　VPNFilter还是一款擦除器

但是，虽然第二个阶段的模块并不具备引导持续性，但它仍然最具危险性，因为它包含一个自我破坏函数，能够覆写设备固件的关键部分并重启设备。这种操作导致任意设备均不可用，因为能够启动该设备的代码已遭乱码替换。

研究人员在报告中指出，“多数受害者无法恢复这一动作，它要求消费者具备他们无法企及的技术能力或工具。我们很担心这种能力能造成的损坏。”

目前，攻击者能够通过如下方式使用VPNFilter：

监控网络流量并拦截敏感网络的凭证

　　监控传入SCADA设备的网络流量并部署专门针对ICS基础设施的恶意软件

　　利用僵尸网络的被黑设备隐藏其它恶意攻击来源

　　导致路由器崩溃并导致乌克兰大部分的互联网基础设施无法使用

思科表示目前正在和相关的公司实体合作试图锁定受到VPNFilter感染的设备，在它发动任何攻击之前将其消灭。截止本文发布前，乌克兰特勤局刚刚发布了相关安全公告。

今年4月，卡巴斯基实验室的安全研究员已发现多个国家网络监控组织开始将被黑路由器集成到攻击基础设施中。并且思科在研究中发现越来越多的恶意活动使用擦除器。僵尸网络的威力不容小觑。

(责任编辑：安博涛)