VPNFilter灾情超乎预期，华硕、D-Link、华为与中兴装置都遭殃
Talos指出VPNFilter感染的连网装置超出预期，涵盖了华硕、D-Link、华为、Ubiquiti、UPVEL与中兴等等，搭配的恶意模组功能也不容小看，可将HTTPS加密传输降为HTTP，可抹减踪迹与装置运作的必要档案。
文/陈晓莉 | 2018-06-07发表
思科（Cisco）旗下的威胁情报组织Talos上个月揭露了相信是由俄罗斯骇客集团Fancy Bear主导的VPNFilter攻击行动，该行动感染了全球54个国家的50万台网络装置，经过进一步分析后，Talos本周指出，VPNFilter的能力超乎当初的想像，不论是感染范围或是恶意模组的能力都更形严重。
根据Talos上个月的初步分析，VPNFilter锁定感染Linksys、MikroTik、NETGEAR与TP-Link等品牌的路由器，以及QNAP网络储存装置，也对基于Modbus SCADA协定的工业控制系统特别有兴趣，它能监控装置流量、窃取网站凭证，亦可切断装置的连网能力或让装置无法使用，还能长久进驻受骇装置，无法借由简单的重开机移除它，而是得回复装置出厂配置。
然而，本周Talos发现太小看VPNFilter的能力了，它的感染范围不仅限于上述，还包括ASUS、D-Link、华为、Ubiquiti、UPVEL与中兴等装置；所搭配的恶意模组ssller亦能把HTTPS加密传输降级为HTTP传输，dstr模组则能移除VPNFilter的踪迹与装置运作的必要档案。
分析显示，ssller模组能够拦截该装置上所有借由port 80递送的流量，可窃取资料并注入JavaScript，以用来攻陷同一网络所连结的其它装置，亦试图将HTTPS传输降级至HTTP。
至于dstr模组则会移除装置正常运作所需的档案，以造成被骇装置失效，在移除装置上的档案之前，它会先抹灭VPNFilter行动的踪迹。
Talos警告，这些能力意味着假使骇客成功地入侵这些终端装置，即可于该环境中部署任何的恶意功能，像是rootkit、窃取资料或毁灭装置。
https://www.ithome.com.tw/news/123708