宁浩

面对日益严峻的网络完全形势，如何提升自身的网络对抗能力，实现关键信息基础设施的自主安全可控，并为网络空间安全提供强力保障，已经成为国家安全的一个关键环节。据有关报道，美俄之间正在展开一场没有硝烟的网络攻防战。最近发生的VPNFilter攻击事件便是其中的典型案例。

2018年5月23日，美国思科公司Talos团队（该公司的网络安全团队之一）单方面宣布，发现一款名为“VPNFilter”的攻击软件已入侵全球54个国家，影响或感染了至少50万台路由器和其它设备。美国联邦调查局也高调介入这次事件当中，通过新闻媒体公开发布应对手段，要求美国公众行动起来消除VPNFilter攻击的影响。此次攻击首次针对家用路由器，也再一次将网络战的话题推到了风口浪尖。

谁是主使

按照美国方面的说法，VPNFilter与俄罗斯之前用于攻击乌克兰基础设施的BlackEnergy恶意攻击载荷高度重合。Talos当时还暗示，黑客当时可能正为六月底的乌克兰宪法日庆祝活动做重复攻击准备。美国情报部门表示，VPNFilter是俄罗斯黑客组织APT28制造的。

据推测，该组织成立于2005年前后，服务于俄罗斯政府。此外，他们还有很多“花名”，比如APT28，Pawn Storm，Sofacy Group， Sednit，STRONTIUM等。APT28的網络活动倾向于支持各种所谓的“信息战”，比如打着其他黑客角色的虚假旗号来搞网站破坏和数据窃取。这些活动的目的无一例外都是对俄罗斯的“政治输出”产生利益。

攻击效能

据悉，VPNFilter是一个分阶段且高度模块化的框架，能快速更改被感染的目标设备，同时能为情报收集和寻找攻击平台提供支撑。

其实施攻击的路径主要分为三个阶段。第一阶段，通过路由器等网络设备公开的漏洞或默认凭证植入该设备并持续存在（路由器重启只能暂时中断恶意软件的运行，但不会将其删除）。在这个阶段，VPNFilter通过多个复杂的控制命令和通道来找到路由器等网络设备所用服务器的IP地址，并灵活应对不可预测的服务器架构变化。具体实现方式为，VPNFilter在一个名为toknowall.com的关键网络域名下，通过能寻求包含服务器IP地址的Photobucket（图片及影像分享平台）或toknowall EXIF原始数据来找到对应的IP地址。如果这两种找寻方式失效，则打开侦听器，等待黑客发送用于进行直接连接的触发数据包，手动进入第二阶段。

第二阶段的主要目的是依据第一阶段获得的持续存在的立足点，快速部署攻击软件。第二阶段的攻击软件拥有较为高级的能力，比如文件收集、命令执行、数据过滤、设备管理和自毁功能。

此外，还有多个第三阶段模块可以作为第二阶段攻击软件的插件，实现更多功能。思科Talos团队已发现了下面的四种插件模块。

第一种插件为PS数据包嗅探器，它能嗅探网络信息包并探测网络流量，具体包括盗窃网站凭证、监控数据采集与监视控制系统协议。

第二种为与Tor网络通信的插件。VPNFilter机器人会利用该插件通过Tor网络与指挥控制服务器通信。目前FBI宣布，通过控制幕后黑手的指挥控制服务器能打掉这个僵尸网络。Tor是Top of Rack的缩写，是一种数据中心的布线方式。人们也叫它洋葱路由器。它通过将流量包裹在加密层中（像洋葱那样），尽可能在发送方和接收方之间匿名将数据内容保护起来，故此得名。

第三种插件为Ssler插件。它能够泄露数据，并将恶意Java程序注入到从网络设备截获的网络流量中。该插件通过劫持通过路由器发往服务器上指定默认端口80的流量，并将其重定向到其自己的监听服务端口8888，然后该流量的内容可能会在发送给合法HTTP服务之前被盗取或修改。此外，该插件通过执行攻击指令将HTTPS协议（SSL证书+HTTP协议构建的一种网络通信协议，可以进行加密传输、身份认证）降级至普通的无防护HTTP协议，迫使受害者Web浏览器通过纯文本HTTP进行通信。这样，攻击者就能以纯文本形式查看传输的内容并获得敏感数据。

第四种为dstr设备破坏插件，即重写设备固件档案的插件。思科已经发现，VPNFilter恶意软件能抹掉设备固件。该插件通过删除正常设备操作所需的文件来使受感染设备无法使用，从而可能切断全球数十万受害者的互联网接入。值得注意的是，在删除系统中的其它文件前，该模块首先删除与自身操作相关的所有文件和文件夹，这可能是为了在调查分析期间隐藏自己的存在。

思科Talos团队6月6日对外公布的VPNFilter进一步分析报告显示，其危险程度远超预想。除了之前发现Linksys、MikroTik、Netgear、TPLink和QNAP等品牌外，VPNFilter的目标设备还包括华硕、D-Link、华为、Ubiquiti、UPVEL和中兴的产品。截止目前受波及的设备名单已经暴增至71款。可见，全球范围内受感染设备的数量仍在增加。

攻防战在继续

为了防范VPNFilter的攻击，用户要对路由器进行升级，将固件升级至最新版本，及时应用更新补丁。如果确认路由器和网络附属存储设备被感染，则建议用户恢复出厂默认值，然后升级最新版本、打上最新补丁并重新启动。Talos开发并部署了100多个Snort签名——即入侵检测规则文件——来保护设备安全。Snort是一个著名的轻量级开源入侵检测系统，本质就是数据包嗅探器。这些签名把VPNFilter涉及的域名/IP地址列入黑名单，进行拦截防御等。

美国政府表示，要“解救”被黑客入侵并控制的50万受感染的路由及存储设备。美国联邦调查局也获得了法院命令，控制了这些僵尸设备背后的服务器——网络战争将会愈演愈烈。