VPNFilter物联网攻击动机浅析

物联网安全又起波澜

5月23日，思科Talos团队发布安全调查报告，发现多达50多万台家用路由器感染VPNFilter恶意软件，涉及Linksys、Netgear、TP-Link等多个品牌。这一事件惊动美国FBI，一方面提醒使用上述品牌路由器的家庭用户，采取行动，重启路由器设备，升级固件；一方面启动流程，对事件进行调查。

VPNFilter恶意软件动静大，掩盖了另外一起物联网安全事件。5月17日，最新的一个Mirai变种被发现，Fortinet公司安全实验室将其命名为“WICKED”。研究发现，WICKED在Mirai基础上增加了恶意软件代理功能，还增加了挖矿模块，感染后替攻击者挖矿。不幸的是，WICKED的感染对象，也包含了Netgear路由器。

物联网设备攻击背后的原因

国家支持的Cyber对抗

VPNFilter事件后续报道中，FBI根据攻击恶意软件指令和CC域名，指责俄罗斯黑客攻击和控制了乌克兰的家用路由设备。攻击涉及54个国家，但大部分感染设备位于乌克兰。考虑到乌克兰与俄罗斯的地缘政治，两国渊源已久。乌克兰挨着战斗民族，没少受气（2016年圣诞节大规模停电事件）。物联网设备成了国家层面在电子战争的牺牲品。

黑客犯罪行为

两年前Mirai代码公开，打开了潘多拉盒子。多个类似Mirai的变种，相继被发现。有理由相信，WICKED绝对不是最后一个。2017年12月，感染几万台华为家用路由器的僵尸网络Satori被披露，不意外的，这也是Mirai变种。

僵尸网络何所营？根据绿盟科技近期发布的研究报告，攻击者僵尸网络常见用途有三：发动DDoS攻击、垃圾邮件发送、加密货币挖矿。一言以蔽之，为钱。报告指出，Botnet已经组织化，产业化。参与Botnet的组织，各有分工，有成熟的商业模式，如下图所示：

为什么受伤的总是我？

物联网设备屡次成为受害者，老被攻击者惦记着。之前的文章里提到过，摄像头主要问题在于弱密码，其次是安全漏洞；路由器的弱密码问题相对好一点，但是漏洞比较多。

请大家想一下，自己家里的光猫，有没有断过电，改过密码，有没有定期更新固件？如果答案都是否，您也得回去检查检查。

相关阅读：

【防护措施】全新恶意软件VPNFilter控制全球至少50万台网络设备

物联网安全年报：那些物联网设备防护神操作

物联网安全系列之一: 隐藏在摄像头下的罪恶

物联网安全系列之二：揭开物联网的“真面目”

点击“阅读原文”下载2017物联网安全年报

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP