思科表示，俄羅斯政府可能啟動(dòng)了一項(xiàng)復(fù)雜的惡意軟件攻擊行動(dòng)，在全球54個(gè)國(guó)家（包括美國(guó)）至少有50萬(wàn)臺(tái)路由器和其他設(shè)備受到感染，Talos的美國(guó)安全研究人員和思科的安全威脅研究團(tuán)隊(duì)認(rèn)為，這種威脅與APT28直接相關(guān)。

APT28也被稱(chēng)為Fancy Bear，是2016年美國(guó)總統(tǒng)競(jìng)選期間負(fù)責(zé)黑客事件的兩個(gè)俄羅斯團(tuán)隊(duì)之一。

據(jù)Talos博客稱(chēng)，雖然名為VPNFilter的惡意軟件襲擊了數(shù)十個(gè)國(guó)家，但現(xiàn)在它以“驚人的速度”瞄準(zhǔn)了烏克蘭設(shè)備。

受VPNFilter影響的設(shè)備包括Linksys，MikroTik，NETGEAR和小型和家庭辦公室的TP-Link網(wǎng)絡(luò)設(shè)備以及QNAP網(wǎng)絡(luò)附加存儲(chǔ)（NAS）設(shè)備。

黑客通過(guò)VPNFilter竊取網(wǎng)站證書(shū)和數(shù)據(jù)，并且VPNFilter讓已經(jīng)被感染的設(shè)備處于癱瘓狀態(tài)。VPNFilter的目標(biāo)是組織網(wǎng)絡(luò)周邊的設(shè)備，這些設(shè)備往往難以防御，有數(shù)百個(gè)已知漏洞并且這些漏洞很難修補(bǔ)。

Talos表示，惡意軟件特別危險(xiǎn)，因?yàn)樗赡鼙挥脕?lái)進(jìn)行大規(guī)模的全球攻擊，可能會(huì)切斷“全球數(shù)十萬(wàn)受害者”的互聯(lián)網(wǎng)訪問(wèn)。博客稱(chēng)：“我們對(duì)這種狀況深表?yè)?dān)憂，這是我們?cè)谶^(guò)去幾個(gè)月中一直在研究這種威脅的原因之一。”

今年4月，美國(guó)一家機(jī)構(gòu)對(duì)英美兩國(guó)的組織發(fā)布一則警告，稱(chēng)俄羅斯國(guó)家資助的黑客組織正在以他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如路由器）為目標(biāo)。該警告是美國(guó)國(guó)土安全部（DHS），聯(lián)邦調(diào)查局（FBI）和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）共同努力的結(jié)果。

思科表示無(wú)法確認(rèn)俄羅斯的惡意軟件威脅是否與4月份的警報(bào)有關(guān)。

俄羅斯惡意軟件

一位發(fā)言人稱(chēng)：“VPNFilter惡意軟件與BlackEnergy攻擊中使用的惡意軟件共享代碼，這種威脅可以追溯到APT28，我們深信本次的威脅與APT28有直接關(guān)系。”

BlackEnergy是用于執(zhí)行分布式拒絕服務(wù)（DDoS）攻擊的惡意軟件，2015年黑客利用該惡意軟件來(lái)關(guān)閉烏克蘭部分能源網(wǎng)。

Talos的研究人員在5月8日和5月17日再次報(bào)告了烏克蘭VPNFilter感染的高峰，并表示：“截至此時(shí)，我們意識(shí)到BlackEnergy和VPNFilter之間的代碼重疊，隨著烏克蘭憲法日即將到來(lái)，新的攻擊可能在6月份發(fā)生。”

烏克蘭在6月28日慶祝憲法日，對(duì)烏克蘭的大規(guī)模攻擊也常常在這一節(jié)日前后進(jìn)行。例如，2017年6月的NotPetya襲擊事件在烏克蘭的電腦上蔓延之后才傳遍全球。2015年圣誕節(jié)前兩天發(fā)生BlackEnergy惡意軟件攻擊。

發(fā)現(xiàn)VPNFilter后，思科通知Cyber Threat Alliance（CTA）成員，共享Talos的分析和惡意軟件樣本。CTA由17個(gè)頂級(jí)安全廠商組成，云主機(jī)，包括思科，McAfee，F(xiàn)ortinet，Palo Alto Networks和賽門(mén)鐵克，每天共享威脅信息。CTA博文表示，云主機(jī)，會(huì)員公司已經(jīng)在使用新的威脅信息來(lái)為他們的客戶(hù)開(kāi)發(fā)保護(hù)和緩解措施。