全球有50萬以上路由器被殭屍網路綁架，FBI呼籲網友請立即重啟家中路由器
janus 發表於 2018年5月28日 15:00
Cisco以及賽門鐵克於前兩天都發出了安全預警，表示一個極為複雜的惡意軟體VPNFilter，目前已經感染了全球54個國家，超過50萬台以上的路由器都被感染，並且已經建立了龐大的殭屍網路。而受到影響的路由器廠商，包括:Linksys，MikroTik，Netgear 和 TP-Link 等知名大廠。
VPNFilter 是一個多模組化的平台，針對Iot物聯網所設計的新形態惡意軟體。他主要是利用目前已知的所有漏洞來攻擊路由器，由於他的手法相當複雜，具有多種功能，可以對目標同時進行情報收集和破壞性網絡攻擊操作，而且還可以刪除、破換韌體，讓受影響的裝置癱瘓。
已知被感染的網路裝置廠牌以及型號如下:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
TP-Link R600VPN
VPNFilter 最早從2016年開始，透過感染物聯網裝置而建構的殭屍網路，但是期間多半都處於潛伏期，最近幾個月該軟體才開始大規模的掃描且攻擊裝置，而這個殭屍網路目前重點指向烏克蘭，控制了烏克蘭境內的路由器以及Iot裝置。
由於VPNFilter 的特徵與先前用來攻擊烏克蘭電網的特徵類似，因此安全專家認為這個惡意軟體可能與俄羅斯駭客有關。而有鑑於現在這個殭屍網路的活躍，安全專家也認為駭客的目標應該鎖定烏克蘭近期的大型活動或是節慶。
而FBI從去年八月以來就已經介入調查VPNFilter ，並且透過分析已知被控制的路由器，長時間觀察該殭屍網路。而FBI也發現這個惡意軟體的關鍵弱點，那就是只要重啟被感染的路由器，惡意軟體大多數透過被感染後下載的而中標的問題都可以解決，只會留下惡意軟體的核心程式。
雖然這樣問題還沒解決，但是FBI同時也發現惡意程式感染受害裝置之後，第一個步驟是透過指向 ToKnowAll.com這個網域下載所有的惡意工具，而FBI則透過法院的申請，取得了這個域名的擁有權。因此，就等於直接地廢掉了這個惡意程式的功力。
因此，受到感染的路由器，只要重啟裝置之後，雖然依然移除不掉惡意程式的核心檔案，但是實際上已經沒有作用，因此可以視同為安全的。
https://www.techbang.com/posts/58638-fbi