原标题:50万台路由器遭俄国骇客植入恶意程式
图片来源:Talos
思科(Cisco)旗下的威胁情报组织Talos本周三(5/23)揭露了一个已感染全球50万台网络装置的模组化恶意程式系统—VPNFilter,虽然它的感染范围扩及全球54个国家,但主要目标为乌克兰,相信是由俄国骇客集团Fancy△Bear(又名Sofacy或APT△28)所主导,FBI则已经取得了法院的许可,接管了控制VPNFilter的网站,拦阻了骇客的大规模攻击行动。
根据Talos的分析,VPNFilter可长久进驻于受骇装置上,就算重开机也消灭不了它,它感染了Linksys、MikroTik、NETGEAR与TP-Link等品牌的路由器,以及QNAP网络储存装置,也对基于Modbus△SCADA协议的工业控制系统特别有兴趣,它能监控装置流量、窃取网站凭证,还能切断装置的连网能力或让装置无法使用,拥有强大的破坏力。
VPNFilter是利用预设凭证或已知攻击程式入侵装置,而非开采全新的零时差漏洞。它分为3个攻击阶段(下图,来源:Talos),一是登入装置并与远端的C△C伺服器建立连线,第二阶段是自C△C伺服器下载可搜集装置资讯及破坏装置能力的模组,第三阶段则是下载能监控装置流量与Modbus△SCADA协议,以及窃取网站凭证的模组。
就算使用者重新开启这些被骇的装置,也只能移除第二与第三阶段的模组,第一阶段的VPNFilter元件仍会持续存在,只能借由回复出厂预设值才能消灭它。
现阶段资安业者尚不明了骇客的企图,有鉴于VPNFilter的破坏力,骇客将有能力一次摧毁大量装置的连网功能。
尽管VPNFilter锁定的是乌克兰,但它仍然感染了全球54个国家的路由器或NAS装置,再加上它的感染规模达到50万台,使得美国联邦调查局(FBI)于本周取得了美国法院的命令,要求Verisign把骇客所使用的ToKnowAll.com网域名称转交给FBI,切断了骇客与这些被骇装置的联系管道,阻止了一场潜在的资安灾难。
相关:
图片来源: Tesla 电动车龙头特斯拉(Tesla)终于开始开源自家的软件,在GitHub上释出了两个开源专案,其一是用来建置嵌入式Linux系统映像档的工具,第二个是用于Tesla△Model△S与Model△X,基于Nvidia△Tegra的娱乐
朝鲜骇客偷渡恶意程式至Google Play,用以追踪、情搜叛逃者
三款app锁定追踪朝鲜的叛逃者。 图片来源: McAfee 资安业者McAfee近日指出,朝鲜骇客集团Sun△Team偷渡了3款恶意程式到Google△Play上,用以监控及追踪朝鲜的叛逃者。这3款恶意程式分别是提供食品成份资讯的????,
骇客攻陷居易路由器漏洞以窜改DNS设定,影响逾20款路由器型号
用户可以检视路由器的相关设定,原本的DNS栏位应该是空白或是ISP业者指定的位址,如栏位的位址为38.134.121.95,即遭到窜改。 图片来源: DrayTek 近来居易科技(DrayTek)的路由器用户传出遭到骇客窜改了DNS设定,
IoT双周报第40期:微软祭出智慧边缘运算新战略,拥抱开源释出Azure IoT Edge核心程式码
Azure△IoT△Edge△Runtime程式码是用来执行、启用Azure△IoT△Edge边缘运算服务底层OS上的一支程式,其实就是Edge层OS,任何装置只要装上这个OS,就等于是具备了IoT△Edge能力,以及串连云端的功能。微软将IoT△Ed
恶意的PDF样本同时开采Adobe Reader与Windows漏洞
示意图,与新闻事件无关。 资安业者ESET最近在公开网络上发现一恶意的PDF样本,它同时开采了Adobe△Reader与旧版Windows的安全漏洞,虽然该样本并未完成,但足已显示骇客发现漏洞与撰写攻击程式的技术高超。骇客若