[情報] VPNFilter災情超乎預期,華碩、D-Link、V
VPNFilter災情超乎預期,華碩、D-Link、華為與中興裝置都遭殃
Talos指出VPNFilter感染的連網裝置超出預期,涵蓋了華碩、D-Link、華為、Ubiquiti、UPVEL與中興等等,搭配的惡意模組功能也不容小看,可將HTTPS加密傳輸降為HTTP,可抹減蹤跡與裝置運作的必要檔案。
文/陳曉莉 | 2018-06-07發表
思科(Cisco)旗下的威脅情報組織Talos上個月揭露了相信是由俄羅斯駭客集團Fancy Bear主導的VPNFilter攻擊行動,該行動感染了全球54個國家的50萬台網路裝置,經過進一步分析後,Talos本周指出,VPNFilter的能力超乎當初的想像,不論是感染範圍或是惡意模組的能力都更形嚴重。
根據Talos上個月的初步分析,VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器,以及QNAP網路儲存裝置,也對基於Modbus SCADA協定的工業控制系統特別有興趣,它能監控裝置流量、竊取網站憑證,亦可切斷裝置的連網能力或讓裝置無法使用,還能長久進駐受駭裝置,無法藉由簡單的重開機移除它,而是得回復裝置出廠配置。
然而,本周Talos發現太小看VPNFilter的能力了,它的感染範圍不僅限於上述,還包括ASUS、D-Link、華為、Ubiquiti、UPVEL與中興等裝置;所搭配的惡意模組ssller亦能把HTTPS加密傳輸降級為HTTP傳輸,dstr模組則能移除VPNFilter的蹤跡與裝置運作的必要檔案。
分析顯示,ssller模組能夠攔截該裝置上所有藉由port 80遞送的流量,可竊取資料並注入JavaScript,以用來攻陷同一網路所連結的其它裝置,亦試圖將HTTPS傳輸降級至HTTP。
至於dstr模組則會移除裝置正常運作所需的檔案,以造成被駭裝置失效,在移除裝置上的檔案之前,它會先抹滅VPNFilter行動的蹤跡。
Talos警告,這些能力意味著假使駭客成功地入侵這些終端裝置,即可於該環境中部署任何的惡意功能,像是rootkit、竊取資料或毀滅裝置。
https://www.ithome.com.tw/news/123708
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.160.179.37
※ 文章網址: https://www.ptt.cc/bbs/Network/M.1528354319.A.69C.html