歹意软件感染路由器等设备培养一个宏大的僵尸网络，这件事情在美国东部大断网后曾经不稀罕了。

但是，最近有个歹意软件感染了 50 万台设备后，FBI 介入了，原来这事还触及到俄罗斯和乌克兰。僵尸网络、歹意软件、黑客、政治……这些词穿插起来，能够就是一个精彩的故事了。

原因是这样的……

乌克兰：黑客攻击重灾区

美国工夫 5 月 23 日，思科公司的平安研讨员宣布：我们发现了一个宏大的僵尸网络，这个僵尸网络看上去仿佛要攻击乌克兰！

说起乌克兰这个国度，还真是被黑客攻击的重灾区。

比方，雷锋网曾报道过，2015 年 12 月 23 日，乌克兰首都基辅局部地域和乌克兰西部的 140 万名居民忽然遭遇了一次大停电，这次停电的罪魁祸首是黑客。没想到，时隔一年，2016 年 12 月 17 日，乌克兰的国度电力部门又遭遇了一次黑客袭击，停电了 30 分钟，这一次，平安公司直指俄罗斯黑客应用歹意软件“埋伏”在了乌克兰军队。

后来，2017 年讹诈病毒暴虐时，英国、乌克兰、俄罗斯等都遭到了不同水平的影响，乌克兰的政府又苦兮兮地出来刷了波存在感——事先乌克兰副总理罗岑科·帕夫洛称职表示，他和乌克兰政府的其他成员无法运用电脑了，电脑被“同一界面锁住了”……

关于前两起事情，乌克兰都怪上了俄罗斯黑客。

鉴于此，美国大哥出手了。

E 平安一则往年 5 月的新闻报道称，美、乌两国 2017 年 9 月曾在基辅（乌克兰首都）停止了初次双边网络平安对话，美国宣布提供 500 万美元网络平安援助，旨在“增强乌克兰预防、缓解及应对网络攻击活动的才能”。

随后，美国国务院方案将 2017 年向乌克兰承诺的网络进攻援助添加一倍，即 1000 万美元，旨在加强各盟友抵挡俄罗斯黑客攻击活动的才能。

又怪俄罗斯

那么，这件事和明天要说的这一同僵尸网络案又有什么关系？

依照思科 Talos 团队的解释，这次僵尸网络的“凶器”是一款名为“VPNFilter”的最新歹意软件，预估有 54 个国度遭入侵，受感染设备的数量至多为 50 万台。

该团队研讨剖析后果显示， VPNFilter 毁坏性较强，可经过烧坏用户的设备来掩盖踪迹，比复杂地删除歹意软件痕迹更深化。应用 VPNFilter 歹意软件，攻击者还可以到达多种其他目的，如监视网络流量并阻拦敏感网络的凭证；窥探到 SCADA （数据采集与监视控制零碎）设备的网络流量，并部署针对 ICS 根底设备的公用歹意软件；应用被感染设备组成的僵尸网络来隐藏其他歹意攻击的来源；招致路由器瘫痪并使受攻击的大局部互联网根底设备无法运用。

假如需求的话，相似命令可大规模执行，可招致不计其数的设备无法运用，比方如今被发现感染的设备就曾经超 50 万台了。

Talos 团队以为，俄罗斯是此次攻击的幕后胁从，乌克兰是最次要的受益者。

缘由有二：

1.“VPNFilter”歹意软件的代码与 BlackEnergy 歹意软件的代码相反，而 BlackEnergy 曾屡次对乌克兰发起大规模攻击。

2.VPNFilter 应用各国的命令和控制（C2）根底设备，过来几周，僵尸网络的创立者不断努力于感染乌克兰的路由器和物联网设备，甚至创立了一个专门的命令控制效劳器来管理这些乌克兰机器人。

思科说，目前还不清楚这个僵尸网络的目的是什么，但是他们担忧，一个新的攻击能够很快就会到来。最有能够的目的是 5 月 26 日星期六， 也就是往年将在乌克兰首都基辅举行的欧洲冠军杯决赛。 另一个能够的日期是 6 月 27 日乌克兰宪法日，也就是去年的 NotPetya 施行网络攻击的日子。

这么紧张的状况下，美国大哥又出手了。

5 月 24 日据外媒报道，美国政府本周三表示，他们将挽救被黑客入侵并控制的数十万受感染的路由及存储设备。随后，美国联邦调查局 （FBI）取得了法院命令，控制了这些僵尸设备面前的效劳器。外媒 bleepingcomputer 报道， 乌克兰特勤局进一步确定，这次袭击应该发作在周六 。

FBI 在调查进程中，又证明了“罪魁祸首”——这个僵尸网络由俄罗斯一个著名黑客特务组织控制，它最罕见的名字为 APT28，美国平安公司火眼曾称，这个黑客组织取得了俄罗斯政府的支持，这个结论失掉了爱沙尼亚本国情报局的盖章。

周六前的抢救

除了触及政治，大家紧张兮兮地缘由还在于，VPNFilter 瞄准的设备类型为网络设备和存储设备，普通很难进攻，这些设备常常呈现在网络核心，没有入侵维护零碎（IPS），也通常没有可用的基于主机的防护零碎，如反病毒（AV）包，而且大少数的相似目的设备，特别是运转旧版本的，都有地下的破绽或默许口令，这使得攻击绝对复杂。

VPNFilter 属于高度模块化的框架，允许疾速更改操作目的设备，同时能为情报搜集和寻觅攻击平台提供支撑。它施行攻击的途径次要分为三个阶段：

第 1 阶段，歹意软件会经过重新启动植入，该阶段次要目的是取得一个耐久化存在的立足点，并使第 2 阶段的歹意软件得以部署。

第 2 阶段，歹意软件拥有智能搜集平台中所希冀的功用，比方文件搜集、命令执行、数据过滤和设备管理，某些版本也具有自毁功用，掩盖了设备固件的关键局部，并可重新引导设备，使其无法运用。

此外，还有多个阶段 3 的模块作为第 2 阶段歹意软件的插件，提供附加功用。

以后，思科 Talos 团队已发现了两个插件模块：一个数据包嗅探器来搜集经过该设备的流量，包括偷盗网站凭证和监控 Modbus SCADA 协议，以及允许第 2 阶段与 Tor 通讯的通讯高端智能装备、新一代信息技术、新能源、新材料、新制造、新零售、新技术、生物制药等新的产业集群正在迸发活力;创新驱动、科技支撑、知识产权转化、技术转移等新的动能正在超越旧的动力，新经济成为支撑经济发展的重要力量。模块，据称依然有其他几个插件模块但以后还没有发现。

平安专家以为， VPFilter 僵尸网络极端风险，一是这能够是一个国度级的攻击行为，二是它阻拦网络流量，搜索 SCADA 设备，以及能让AI已经渗透到了生活中的方方面面。在智能交通领域，人工智能技术也正在发挥作用。设备变砖。而且，依照他们的判别，“弱鸡的”普通群众毫无还手之力。

这也是在思科发布报告的几个小时后，FBI 立刻出动，控制了该僵尸网络面前域名 toknowall.com 的缘由。同时，FBI 如今宣告，各地拥有受影响路由器和 NAS 设备的用户赶忙重置本人的设备，这样做的目的是，重新衔接效劳器，好让“我们晓得这个僵尸网络如今究竟被养得多肥了”！

友谊附赠容易遭到该歹意软件攻击的设备清单：

雷锋网 (大众号：雷锋网) 本文参考来源：bleepingcomputer、E平安等，另感激阿里平安猎户座实验室提供了局部材料。

欢送关注雷锋网旗下微信大众号“宅客频道”，获取更多网络平安信息。

。