英美指责俄罗斯入侵家庭路由器和 ISP 发动中间人攻击

翻译：360代码卫士团队

美国国土安全部 (DHS) 与美国联邦调查局 (FBI) 以及英国国家网络安全中心 (NCSC) 发布联合警告称，俄罗斯国家黑客正在入侵家庭和企业路由器。

英美两国表示俄罗斯受国家支持的黑客一直都在攻击互联网路由设备，目的是“实施中间人攻击以支持间谍、提取智慧财产、维持对受害者网络的持续性访问权限以及可能为未来的攻击行动奠定基础。”

 US-CERT 网站发布联合技术警告 (TA) 称，英美两国一直在追踪发生在2016年的多起攻击事件。警告称，网络设备是理想的目标，多数或所有的组织和消费者流量必须遍历这些关键设备。出现在组织机构网关路由器上的恶意人员能够监控、修改并拒绝流向或从组织机构流出的流量。只要控制了网络的路由基础架构，就能控制流经网络的数据。

从技术角度来看，攻击在方法论、范围和目的上都各不相同。英美两国表示，俄罗斯国家黑客利用含有过时固件、弱凭证和功能配置错误的路由器在易受攻击设备上站稳脚跟。

被黑设备包括小型家庭路由器、互联网服务提供商级别的路由器以及防火墙，攻击者试图储存尽可能多的系统。攻击向量包括 Telnet、TFTP、SNMP 和 SMI，而这些协议通常出现在路由器上，它们都含有漏洞且容易破坏配置选项。

英美两国发布的警告中专门提到了一款于2016年11月发布在网上的“SIET（智能安装利用工具）”。它能轻易地利用 Smart Install (SMI) 客户端配置错误的思科路由器。思科最近警告称攻击者已开始滥用这个协议。

卡巴斯基实验室的专家 Costin Raiu 在上周举行的一次网络会议中指出，路由器已成为网络间谍组织的常见攻击目标，这些组织利用这些被黑路由器感染用户或者作为隐藏行踪的巨大代理网络。

这份联合警告还说明了基础的攻击情况、提出保护路由器安全的建议，同时发布了已知感染和攻击者的妥协指标 (IOCs)。

美国、英国、加拿大、澳大利亚和新西兰最近官方指责俄罗斯精心部署了 NotPetya 勒索攻击。美国还因俄罗斯发动 NetPetya 勒索攻击、攻击美国电力网以及试图影响2016年美国总统大选进程而对俄罗斯实施制裁。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。