“太诡异了!”5月20日,国家安全部突然披露了一起离奇案件:不少家庭和企业最近频繁遇到网速骤降、路由器莫名掉线,甚至管理后台怎么都登不上去。一开始大家都以为是运营商的问题,直到官方顺藤摸瓜,才发现背后竟藏着一只看不见的手。 帕拉斯·贾、约书亚·怀特和道尔顿·诺曼这三个美国年轻人2016年搞出了Mirai僵尸网络。他们扫描互联网上那些用默认密码的路由器和摄像头,直接登录进去,把设备变成受控的僵尸。 9月20日,他们用这个网络对安全记者布莱恩·克雷布斯的网站发起攻击,流量峰值达到620Gbps。10月21日,Dyn公司的DNS服务器被打瘫,Twitter、Netflix这些大平台在美国东部大面积掉线好几个小时。 事后三人认罪,美国法院的文件把整个过程记录得清清楚楚。很多受害者当时只觉得设备卡顿、重启,以为是信号问题,谁也没想到路由器已经成了别人手里的工具。 2011年3月,RSA安全公司遇到类似麻烦。员工收到一封标题是“2011年招聘计划”的邮件,里面有个Excel附件。打开后,Adobe Flash的零日漏洞被利用,攻击者进了内网。 RSA执行主席阿特·科维洛后来在公司官网发公开信承认,SecurID令牌的相关数据被窃取。洛克希德·马丁公司随后也中招,调查显示攻击者用了从RSA拿到的信息。这件事让鱼叉式钓鱼成了网络安全圈的重点案例,邮件伪装成日常工作内容,让人很难起疑心。 “自知者明,自胜者强。”老子这句话放在网络安全上特别合适。2018年5月,VPNFilter恶意软件又冒了出来。思科Talos团队发现它感染了50多万台路由器,涉及Linksys、Netgear、TP-Link等品牌,主要来自俄罗斯军事情报局下属的APT28组织。 这个软件有三层功能,第一层保证重启后还能留存,第二层监控流量,第三层能拦截HTTPS数据,把加密内容变成明文偷看。 美国联邦调查局5月23日发公告,建议大家重启路由器并恢复出厂设置,7月还查封了控制服务器的域名。很多路由器用户平时只管上网,从不升级固件,也不开关闭不用的远程管理功能,结果就成了跳板。 国家安全部这次通报里提到的境外间谍做法,跟这些历史事件有不少相似地方。攻击者先控制老旧路由器,再用伪装邮件钓取密码,然后长期潜伏偷文件。 普通人觉得网速慢是运营商的事,其实设备早被远程操控了。帕拉斯·贾他们当年只是年轻人图好玩,后面的事却证明这种漏洞能被更复杂的力量利用。路由器作为家庭上网的核心,一旦出问题,个人隐私和更大范围的安全都跟着受影响。 2012年印度大停电那次,6.2亿人同时断电,调查报告说各邦超限抽电加上设施老化是主因。类似的问题在路由器安全上也存在,长期不维护就等于留了后门。 国家安全机关这次曝光的案子还在调查,更多细节没完全公布,但已经提醒大家,设备密码不能用默认的,固件要及时更新。那些被控的路由器主人现在可能还蒙在鼓里,网速偶尔卡一下,以为是正常现象。案件的完整过程,官方还在继续跟进。
