俄罗斯政府黑客 apt 28 (aka fancy bear)利用恶意程序 vpnfilter 在全世界感染了 50 万路由器,被感染的路由器品牌包括 linksys、mikrotik、netgear、tp-link、华硕、华为、中兴和 d-link 等。思科研究人员此前从 vpnfilter 中发现了一个中间人攻击模块 ssler,攻击者能利用该模块向通过被感染路由器的流量注入恶意负荷,它甚至能悄悄修改网站发送的内容。现在,思科 talos 团队的研究人员又从 vpnfilter 中 7 个不同的网络漏洞利用模块,这一发现显示 vpnfilter 是作为一个长期使用的网络漏洞利用和攻击平台开发的。新发现的攻击模块包括:重定向和检查未加密内容的 htpx;远程访问设备的 ssh 工具 ndbr;用于侦察的网络映射模块 nm;能用于屏蔽地址的防火墙管理工具 netfilter;流量转发 portforwarding;将入侵设备变成 socks5 vpn 代理服务器的模块 socks5proxy;在入侵设备创建 reverse-tcp vpn 的模块 tcpvpn。
