VPNFilter路由器僵尸网络试图卷土重来：专盯乌克兰境内设备

上周五JASK 和 GreyNoise 情报公司表示，疑似被由俄罗斯网络间谍构建的感染50多万台路由器的 VPNFilter 僵尸网络正在试图卷土重来。上上周，FBI 表示拿下该僵尸网络。

研究人员表示，构建了首批 VPNFilter 僵尸网络的威胁人员正在试图攻陷新的路由器并构建了一个新的僵尸网络。

仅针对乌克兰

所有的扫描都是为了寻找端口2000被暴露的 Mikrotik 路由器，而且仅寻找位于乌克兰网络中的路由器。

针对乌克兰的路由器发动攻击并不令人惊讶。感染50多万台路由器和 NAS 设备的 VPNFilter 僵尸网络第一个版本位于全球，但从5月8日开始，它就开始仅寻找乌克兰路由器。

另外，老版的 VPNFilter 僵尸网络通过一个专门的 C&C 服务器管理乌克兰设备，和主僵尸网络分开。

研究人员认为 VPNFilter 的幕后黑手即 APT 28 正在趁5月26日举办 UEFA 欧洲冠军杯总决赛之前攻击乌克兰的 IT 基础设施。

就在思科 Talos 研究人员公布 VPNFilter 之后，FBI 接管了用于管理 VPNFilter C&C 基础设施的域名，有效地拿下整个僵尸网络。

但 APT28 似乎并未受 FBI 拿下原始 VPNFilter 僵尸网络的影响，目前正在寻找新的攻陷目标，这次可能是为了执行计划好的攻击。

VPNFilter 恶意软件无小事

VPNFilter 恶意软件被指为最高阶的物联网僵尸网络之一。这款 VPNFilter 恶意软件和 VPN 之间并无关联，它由三种类型的 payload 组成。

第一阶段的 payload 能够实现启动持续性并在设备重启后仍然存活（第二个能实现这个目的的僵尸网络），第二阶段的组件和一个远程访问木马之间存在关联，而第三阶段的 payload 是这个远程访问木马的插件，它增加了额外的功能。

直至目前，安全研究人员分析指出，这款僵尸网络能够擦除本地固件、检查本地流量、通过 Tor 进行通信并且通过在端口 502 查找和 Modbus 相关流量的方式查找本地网络上的工控设备流量。

乌克兰仍需提高警惕

VPNFilter 中的多数功能都是典型的国家恶意软件的功能，而非普通的物联网僵尸网络。正因如此，FBI 和国土安全部指出，幕后黑手是俄罗斯 APT 28 而非一般的脚本小子或对发动 DDoS 攻击和代理流量以获利的网络犯罪分子。

爱沙尼亚外国情报服务机构发布报告称 APT 28 是俄罗斯格鲁乌的一个组成部分。

APT 28 被指多次攻击乌克兰，如 NotPetya 勒索软件攻击以及在2015年和2016年针对乌克兰电力网发动 BlackEnergy 攻击。

在这个 VPNFilter 新变体到来之际，乌克兰仍需保持警醒。自从2014年和亲俄罗斯势力开始对抗后，乌克兰成为多种网络攻击的目标，如 BlackEnergy 安全事件、NotPetya 攻击、“坏兔子”攻击以及 PSCrypt 攻击等。

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。