寧浩

面對日益嚴(yán)峻的網(wǎng)絡(luò)完全形勢，如何提升自身的網(wǎng)絡(luò)對抗能力，實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的自主安全可控，并為網(wǎng)絡(luò)空間安全提供強力保障，已經(jīng)成為國家安全的一個關(guān)鍵環(huán)節(jié)。據(jù)有關(guān)報道，美俄之間正在展開一場沒有硝煙的網(wǎng)絡(luò)攻防戰(zhàn)。最近發(fā)生的VPNFilter攻擊事件便是其中的典型案例。

2018年5月23日，美國思科公司Talos團(tuán)隊（該公司的網(wǎng)絡(luò)安全團(tuán)隊之一）單方面宣布，發(fā)現(xiàn)一款名為“VPNFilter”的攻擊軟件已入侵全球54個國家，影響或感染了至少50萬臺路由器和其它設(shè)備。美國聯(lián)邦調(diào)查局也高調(diào)介入這次事件當(dāng)中，通過新聞媒體公開發(fā)布應(yīng)對手段，要求美國公眾行動起來消除VPNFilter攻擊的影響。此次攻擊首次針對家用路由器，也再一次將網(wǎng)絡(luò)戰(zhàn)的話題推到了風(fēng)口浪尖。

誰是主使

按照美國方面的說法，VPNFilter與俄羅斯之前用于攻擊烏克蘭基礎(chǔ)設(shè)施的BlackEnergy惡意攻擊載荷高度重合。Talos當(dāng)時還暗示，黑客當(dāng)時可能正為六月底的烏克蘭憲法日慶?；顒幼鲋貜?fù)攻擊準(zhǔn)備。美國情報部門表示，VPNFilter是俄羅斯黑客組織APT28制造的。

據(jù)推測，該組織成立于2005年前后，服務(wù)于俄羅斯政府。此外，他們還有很多“花名”，比如APT28，Pawn Storm，Sofacy Group， Sednit，STRONTIUM等。APT28的網(wǎng)絡(luò)活動傾向于支持各種所謂的“信息戰(zhàn)”，比如打著其他黑客角色的虛假旗號來搞網(wǎng)站破壞和數(shù)據(jù)竊取。這些活動的目的無一例外都是對俄羅斯的“政治輸出”產(chǎn)生利益。

攻擊效能

據(jù)悉，VPNFilter是一個分階段且高度模塊化的框架，能快速更改被感染的目標(biāo)設(shè)備，同時能為情報收集和尋找攻擊平臺提供支撐。

其實施攻擊的路徑主要分為三個階段。第一階段，通過路由器等網(wǎng)絡(luò)設(shè)備公開的漏洞或默認(rèn)憑證植入該設(shè)備并持續(xù)存在（路由器重啟只能暫時中斷惡意軟件的運行，但不會將其刪除）。在這個階段，VPNFilter通過多個復(fù)雜的控制命令和通道來找到路由器等網(wǎng)絡(luò)設(shè)備所用服務(wù)器的IP地址，并靈活應(yīng)對不可預(yù)測的服務(wù)器架構(gòu)變化。具體實現(xiàn)方式為，VPNFilter在一個名為toknowall.com的關(guān)鍵網(wǎng)絡(luò)域名下，通過能尋求包含服務(wù)器IP地址的Photobucket（圖片及影像分享平臺）或toknowall EXIF原始數(shù)據(jù)來找到對應(yīng)的IP地址。如果這兩種找尋方式失效，則打開偵聽器，等待黑客發(fā)送用于進(jìn)行直接連接的觸發(fā)數(shù)據(jù)包，手動進(jìn)入第二階段。

第二階段的主要目的是依據(jù)第一階段獲得的持續(xù)存在的立足點，快速部署攻擊軟件。第二階段的攻擊軟件擁有較為高級的能力，比如文件收集、命令執(zhí)行、數(shù)據(jù)過濾、設(shè)備管理和自毀功能。

此外，還有多個第三階段模塊可以作為第二階段攻擊軟件的插件，實現(xiàn)更多功能。思科Talos團(tuán)隊已發(fā)現(xiàn)了下面的四種插件模塊。

第一種插件為PS數(shù)據(jù)包嗅探器，它能嗅探網(wǎng)絡(luò)信息包并探測網(wǎng)絡(luò)流量，具體包括盜竊網(wǎng)站憑證、監(jiān)控數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)協(xié)議。

第二種為與Tor網(wǎng)絡(luò)通信的插件。VPNFilter機器人會利用該插件通過Tor網(wǎng)絡(luò)與指揮控制服務(wù)器通信。目前FBI宣布，通過控制幕后黑手的指揮控制服務(wù)器能打掉這個僵尸網(wǎng)絡(luò)。Tor是Top of Rack的縮寫，是一種數(shù)據(jù)中心的布線方式。人們也叫它洋蔥路由器。它通過將流量包裹在加密層中（像洋蔥那樣），盡可能在發(fā)送方和接收方之間匿名將數(shù)據(jù)內(nèi)容保護(hù)起來，故此得名。

第三種插件為Ssler插件。它能夠泄露數(shù)據(jù)，并將惡意Java程序注入到從網(wǎng)絡(luò)設(shè)備截獲的網(wǎng)絡(luò)流量中。該插件通過劫持通過路由器發(fā)往服務(wù)器上指定默認(rèn)端口80的流量，并將其重定向到其自己的監(jiān)聽服務(wù)端口8888，然后該流量的內(nèi)容可能會在發(fā)送給合法HTTP服務(wù)之前被盜取或修改。此外，該插件通過執(zhí)行攻擊指令將HTTPS協(xié)議（SSL證書+HTTP協(xié)議構(gòu)建的一種網(wǎng)絡(luò)通信協(xié)議，可以進(jìn)行加密傳輸、身份認(rèn)證）降級至普通的無防護(hù)HTTP協(xié)議，迫使受害者Web瀏覽器通過純文本HTTP進(jìn)行通信。這樣，攻擊者就能以純文本形式查看傳輸?shù)膬?nèi)容并獲得敏感數(shù)據(jù)。

第四種為dstr設(shè)備破壞插件，即重寫設(shè)備固件檔案的插件。思科已經(jīng)發(fā)現(xiàn)，VPNFilter惡意軟件能抹掉設(shè)備固件。該插件通過刪除正常設(shè)備操作所需的文件來使受感染設(shè)備無法使用，從而可能切斷全球數(shù)十萬受害者的互聯(lián)網(wǎng)接入。值得注意的是，在刪除系統(tǒng)中的其它文件前，該模塊首先刪除與自身操作相關(guān)的所有文件和文件夾，這可能是為了在調(diào)查分析期間隱藏自己的存在。

思科Talos團(tuán)隊6月6日對外公布的VPNFilter進(jìn)一步分析報告顯示，其危險程度遠(yuǎn)超預(yù)想。除了之前發(fā)現(xiàn)Linksys、MikroTik、Netgear、TPLink和QNAP等品牌外，VPNFilter的目標(biāo)設(shè)備還包括華碩、D-Link、華為、Ubiquiti、UPVEL和中興的產(chǎn)品。截止目前受波及的設(shè)備名單已經(jīng)暴增至71款。可見，全球范圍內(nèi)受感染設(shè)備的數(shù)量仍在增加。

攻防戰(zhàn)在繼續(xù)

為了防范VPNFilter的攻擊，用戶要對路由器進(jìn)行升級，將固件升級至最新版本，及時應(yīng)用更新補丁。如果確認(rèn)路由器和網(wǎng)絡(luò)附屬存儲設(shè)備被感染，則建議用戶恢復(fù)出廠默認(rèn)值，然后升級最新版本、打上最新補丁并重新啟動。Talos開發(fā)并部署了100多個Snort簽名——即入侵檢測規(guī)則文件——來保護(hù)設(shè)備安全。Snort是一個著名的輕量級開源入侵檢測系統(tǒng)，本質(zhì)就是數(shù)據(jù)包嗅探器。這些簽名把VPNFilter涉及的域名/IP地址列入黑名單，進(jìn)行攔截防御等。

美國政府表示，要“解救”被黑客入侵并控制的50萬受感染的路由及存儲設(shè)備。美國聯(lián)邦調(diào)查局也獲得了法院命令，控制了這些僵尸設(shè)備背后的服務(wù)器——網(wǎng)絡(luò)戰(zhàn)爭將會愈演愈烈。