思科安全研究人员在进一步分析后发现,恶意程序 VPNFilter比早先以为的更强大更具破坏性。为俄罗斯政府工作的黑客利用 VPNFilter 在全世界感染了 50 万路由器,被感染的路由器品牌包括 Linksys、MikroTik、Netgear 和 TP-Link。 现在研究人员报告,华硕、华为、中兴和 D-Link 等公司的路由器也受到感染。思科研究人员从 VPNFilter 中发现了一个中间人攻击模块 ssler,攻击者能利用该模块向通过被感染路由器的流量注入恶意负荷,它甚至能悄悄修改网站发送的内容。ssler 还设计窃取敏感数据如密码,此类数据通常是加密传输,ssler 会尝试将 HTTPS 连接降级为明文 HTTP 连接。 ssler 还特别为 Google、Facebook、Twitter 和 Youtube 的流量进行了调整,原因可能是这些网站提供了额外的安全功能,比如 Google 会自动将 HTTP 流量重定向 HTTPS。ssler 还会去掉 gzip 提供的数据压缩,因为明文流量更容易修改。
|