FBI建议所有路由器和NAS用户重启设备中止恶意软件
美国联邦调查局建议消费级路由器和NAS网络存储设备的用户尽快重新启动设备,以对付已经感染数十万设备的来自俄罗斯的恶意软件。
思科Talos安全团队的研究人员周三首先披露了该恶意软件的存在。详细报告称恶意软件感染了Linksys,Mikrotik,Netgear,QNAP和TP-Link制造的超过50万台路由器和NAS设备。这个被称为VPNFilter的恶意软件允许攻击者收集通信,发动对他人的攻击,并且只需一行命令就可永久损坏设备。该报告称,恶意软件是由为先进国家(可能是俄罗斯)工作的黑客开发,并建议受影响路由器型号的用户执行恢复出厂设置(可以彻底清除三个阶段的恶意软件)或至少重新启动。
当天晚些时候,The Daily Beast报道称,VPNFilter 确实是由俄罗斯黑客组织开发的,其中包括Sofacy,Fancy Bear,APT 28和Pawn Storm等众多名字。“The Daily Beast”还称,FBI已经控制了一个VPNFilter用作备份的互联网域名,该域名负责将恶意软件后期阶段传送给已经感染初始阶段恶意软件的设备,这意味着阶段2和阶段3期恶意软件的分发手段被切断,攻击者仅剩下第三个后备手段,那就是向每个受感染设备发送特殊数据包。
路由器“杀手”的死穴——重启
用于交付后期阶段的冗余机制为VPNFilter的阶段2和阶段3中留下一个严重缺陷——只要设备重新启动,它们就会被清除干净,不过第一阶段依然存在。一旦受感染的设备重新启动,第1阶段恶意软件将试图访问已经被FBI控制的域名ToKnowAll.com。在星期五发表的一份声明中,FBI官员建议所有消费级路由器的用户,不仅是那些已知易受VPNFilter攻击的用户,立刻行动起来保护自己。官员写道:
FBI建议小型办公室和家庭办公室路由器的所有者重新启动设备,暂时中断恶意软件并帮助识别被感染设备。建议业主考虑禁用设备上的远程管理设置,并在启用时使用强密码和加密进行保护。网络设备应升级到最新版本的固件。
美国国土安全部也发表声明称,“所有SOHO路由器所有者重启设备以暂时中断恶意软件。”
正如声明中指出的那样,重新启动路由器可以:(1)暂时防止受感染设备运行收集数据和其他高级攻击的阶段,以及(2)帮助FBI官员跟踪谁受到感染。周五的声明表示,联邦调查局正在与非营利性影子基金会合作,向ISP和外国当局通报受感染设备的IP地址,以通知最终用户。
当局和研究人员仍然不确定设备最初是如何被感染的。他们怀疑攻击者利用了最终用户尚未修补的已知漏洞和默认密码。这种不确定性可能是FBI在声明中敦促所有路由器和NAS用户重启的原因,而不仅限于以下14个已知受VPNFilter影响的14个产品型号的用户,这些产品型号是:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- 适用于云核心路由器的Mikrotik RouterOS:版本1016,1036和1072
- NETGEAR DGN2200
- NETGEAR R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- NETGEAR WNR2000
- QNAP TS251
- QNAP TS439 Pro
- 其他运行QTS软件的QNAP NAS设备
- TP-Link R600VPN
目前还没有检测路由器是否被VPNFilter感染的简易方法。对于高级用户,思科在周三的报告中提供了详细的感染指标,以及保护设备的防火墙规则。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: