研究人员发现了一支庞大的僵尸网络大军，由50万个被黑客入侵的路由器组成

思科的Talos网络情报部门发现了一种先进的物联网僵尸网络恶意软件，名为VPNFilter，具有收集情报、干扰互联网通信以及进行破坏性网络攻击行动的多种能力。

该恶意软件已经感染了至少54个国家的50多万台设备，其中大多数是Linksys、MikroTik、NETGEAR和TP Link的小型和家庭办公室路由器以及连接互联网的存储设备。一些已知的网络连接存储（NAS）设备也成为攻击目标。

VPNFilter是一种多阶段、模块化的恶意软件，可以窃取网站凭据并监控工业控制或SCADA系统，如电网、其他基础设施和工厂中使用的系统。

该恶意软件通过Tor匿名网络进行通信，甚至包含一个路由器的killswitch，恶意软件在路由器中故意自杀。

与针对物联网（IoT）设备的大多数其他恶意软件不同，VPNFilter的第一阶段通过重新启动持续存在，在受感染的设备上获得持久立足点，并支持部署第二阶段恶意软件。

VPNFilter以恶意软件创建的目录（/var/run/vpnfilterw）命名，该目录用于在受感染的设备上隐藏其文件。

由于研究仍在进行中，Talos的研究人员“没有明确的证据证明威胁行为人是如何利用受影响的设备的”，但他们坚信VPNFilter不会利用任何零日漏洞感染其受害者。

相反，恶意软件的目标设备仍然暴露于众所周知的公共漏洞或具有默认凭据，这使得妥协相对简单。

塔洛斯的研究人员对俄罗斯政府支持VPNFilter有很高的信心，因为恶意软件代码与VPNFilter的版本重叠黑能源，美国政府将乌克兰多起针对设备的大规模攻击归咎于俄罗斯的恶意软件。

尽管在54个国家发现了感染VPNFilter的设备，但研究人员认为，在乌克兰5月8日恶意软件感染激增之后，黑客的目标是乌克兰。

Talos研究人员William Largent在一篇博客文章中说：“该恶意软件具有破坏性能力，可使受感染的设备无法使用，可在单个受害者机器上触发或整体触发，并有可能切断全球数十万受害者的互联网接入”。

研究人员说，他们在完成研究之前公布了他们的发现，因为担心乌克兰可能即将遭受攻击，乌克兰多次成为俄罗斯网络攻击的受害者，包括大规模停电和NotPetya。

如果您已经感染了恶意软件，请将路由器重置为出厂默认值，以删除潜在的破坏性恶意软件，并尽快更新设备的固件。

你需要更加警惕你的智能物联网设备的安全性。为了防止此类恶意软件攻击，建议您更改设备的默认凭据。

如果你的路由器默认易受攻击且无法更新，那么扔掉它，买一个新的，就这么简单。你的安全和隐私比路由器的价格更值钱。

此外，一定要把路由器放在防火墙后面，除非你真的需要，否则要关闭远程管理。