事实证明，VPNFilter病毒感染了50万路由器，其危险性甚至超出了人们的想象。

几周前，信息安全专家警告了一种名为VPNFilter 的危险恶意软件 。 事实证明，这种恶意软件的主要目标是各种制造商的路由器。 VPNFilter最早的一个团队是Cisco Talos信息安全专家团队。

开发人员会不断改进该恶意软件。 最近，发现了一个新模块，该模块针对传入流量使用中间人攻击类型 。 攻击者可以修改通过路由器的流量。 他们还可以将任何数据重定向到其服务器，而不会出现任何问题。 病毒模块称为ssler。

ssler除了修改传入的流量外，还可以将受害者的个人数据传输给其创建者。 这些可以是网络罪犯用于不同目的的各种资源的密码。

为了防止个人信息被盗，通常使用TLS加密，恶意软件可以绕过TLS加密。 这是通过将HTTPS连接“降级”到HTTP流量（不受任何保护）来完成的。 然后，将替换请求标头，以作为访问点易受攻击的信号。 Ssler专门修改了各种资源的流量，包括Google，Facebook，Twitter和Youtube。 事实是这些服务提供了额外的保护。 例如，Google将HTTP流量重定向到HTTPS服务器。 但是该模块允许您绕过此保护，以便攻击者可以接收未加密的流量。

从发现病毒的那一刻起，信息安全专家就在探索其功能 。 事实证明，他比想象中的还要危险。 例如，以前，思科专家声称攻击者的主要任务是感染公司办公室和受害者家中的网络设备。 也许形成一个僵尸网络。 但是现在事实证明，主要目标是用户或他们的数据。

“最初，当我们发现该病毒时，我们认为它是为实施各种网络攻击而创建的。 但是事实证明，这根本不是主要任务，也不是恶意软件的可能性。 它的创建主要是为了窃取用户数据并修改流量。 例如，病毒可以以某种方式更改流量，以使客户银行用户的帐户中看到的金额相同。 但是实际上，资金已经存在了很长时间了，”网络安全专家的报告说。

有趣的是，大多数被感染的设备都位于乌克兰。 HTTP严格传输安全性之类的保护措施在这里不是很常见，因此用户数据受到威胁。 但是在其他国家/地区则存在问题-例如，在美国和西欧，许多在道德上已经过时的设备在继续使用HTTP的同时不支持使用HTTPS。

以前有报道说，这种病毒最易受攻击的路由器型号是华硕，D-Link，华为，Ubiquiti，UPVEL和中兴生产的设备。 实际上，易受该病毒感染的设备范围更广。 这包括Linksys，MikroTik，Netgear和TP-Link的模型。

这还不是全部

除了上面宣布的所有内容外，Talos还报告了嗅探器模块的发现。 它在搜索与工业系统的运行相关的某种类型的数据时分析流量。 此流量通过由模块确定的TP-Link R600。 此外，该模块还会查找特定范围内的IP访问以及大小为150字节或更大的数据包。



“病毒的创造者正在寻找非常具体的东西。 他们不会尝试收集尽可能多的信息，而不是根本不收集。 他们需要密码，登录名，访问特定IP范围等。 研究人员说，我们正在试图了解谁可能需要这一切。

但这还不是全部，因为现在正在更新病毒，因此自毁模块已出现在其功能中。 激活模块后，该病毒将从设备中删除，没有任何痕迹。

尽管联邦调查局大约在一周前发现并占领了主服务器，但僵尸网络仍处于活动状态，所采取的措施显然还不够。