全球有50万以上路由器被僵尸网络绑架，FBI呼吁网友请立即重启家中路由器
janus 发表于 2018年5月28日 15:00
Cisco以及赛门铁克于前两天都发出了安全预警，表示一个极为复杂的恶意软件VPNFilter，目前已经感染了全球54个国家，超过50万台以上的路由器都被感染，并且已经建立了庞大的僵尸网络。而受到影响的路由器厂商，包括:Linksys，MikroTik，Netgear 和 TP-Link 等知名大厂。
VPNFilter 是一个多模组化的平台，针对Iot物联网所设计的新形态恶意软件。他主要是利用目前已知的所有漏洞来攻击路由器，由于他的手法相当复杂，具有多种功能，可以对目标同时进行情报收集和破坏性网络攻击操作，而且还可以删除、破换韧体，让受影响的装置瘫痪。
已知被感染的网络装置厂牌以及型号如下:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
TP-Link R600VPN
VPNFilter 最早从2016年开始，透过感染物联网装置而建构的僵尸网络，但是期间多半都处于潜伏期，最近几个月该软件才开始大规模的扫描且攻击装置，而这个僵尸网络目前重点指向乌克兰，控制了乌克兰境内的路由器以及Iot装置。
由于VPNFilter 的特征与先前用来攻击乌克兰电网的特征类似，因此安全专家认为这个恶意软件可能与俄罗斯骇客有关。而有鉴于现在这个僵尸网络的活跃，安全专家也认为骇客的目标应该锁定乌克兰近期的大型活动或是节日。
而FBI从去年八月以来就已经介入调查VPNFilter ，并且透过分析已知被控制的路由器，长时间观察该僵尸网络。而FBI也发现这个恶意软件的关键弱点，那就是只要重启被感染的路由器，恶意软件大多数透过被感染后下载的而中标的问题都可以解决，只会留下恶意软件的核心程式。
虽然这样问题还没解决，但是FBI同时也发现恶意程式感染受害装置之后，第一个步骤是透过指向 ToKnowAll.com这个网域下载所有的恶意工具，而FBI则透过法院的申请，取得了这个域名的拥有权。因此，就等于直接地废掉了这个恶意程式的功力。
因此，受到感染的路由器，只要重启装置之后，虽然依然移除不掉恶意程式的核心档案，但是实际上已经没有作用，因此可以视同为安全的。
https://www.techbang.com/posts/58638-fbi