法国警告称，家庭和办公室路由器受到中国国家黑客的攻击

该县当局表示，中国国家黑客正在破坏大量家庭和办公室路由器，以用于对法国组织的大规模持续攻击。这个黑客组织——在安全界被称为 APT31、Zirconium、Panda 和其他名称——历来针对政府、金融、航空航天和国防组织以及技术、建筑、工程、电信、媒体和其他领域的企业开展间谍活动。保险行业，安全公司 FireEye 表示。英国国家网络安全中心周一表示，APT31 也是中国政府赞助的三个黑客组织之一，这些组织参与了最近对 Microsoft Exchange 服务器的黑客攻击。周三，法国国家信息系统安全局（缩写为 ANSSI）警告国家企业和组织，该组织是大规模攻击活动的幕后黑手，该活动在进行侦察和攻击之前使用被黑路由器作为掩盖入侵的手段。 “ANSSI 目前正在处理影响众多法国实体的大型入侵活动，”ANSSI 的一份咨询报告警告说。 “攻击仍在进行中，并由公开称为 APT31 的入侵集领导。从我们的调查来看，威胁行为者使用受感染的家庭路由器网络作为操作中继箱，以执行隐形侦察和攻击。”该公告包含入侵指标，组织可以使用这些指标来确定他们是否在活动中遭到黑客攻击或成为攻击目标。这些指标包括 161 个 IP 地址，尽管尚不完全清楚它们是否属于受攻击的路由器或攻击中使用的其他类型的互联网连接设备 由安全公司 Cyjax 的研究员 Will Thomas 创建的图表显示了托管 IP 的国家/地区最大的集中在俄罗斯，其次是埃及、摩洛哥、泰国和阿拉伯联合酋长国。 CERT-FR 报告说#APT31 正在使用受损的路由器来针对法国组织：https://t.co/kGFO9P0xRI 我整理了一些图表，展示了已披露的约 160 个 IP 地址：pic.twitter.com/A7XIPe72qf

— 将 |武士道 (@BushidoToken) 2021 年 7 月 21 日没有任何地址位于法国或西欧的任何国家或五眼联盟的成员国。 “APT31 通常在目标国家/地区使用 pwned 路由器作为最后一跳，以避免一些怀疑，但在这次活动中，除非 [法国安全机构] CERT-FR 省略了它们，否则他们不会在这里这样做，”托马斯在直接消息中说。 “这里的另一个困难是，某些路由器过去或同时也可能受到其他攻击者的攻击。”在 Twitter 上，微软威胁分析师 Ben Koehl 为 Zirconium 提供了额外的背景信息——这是 APT31 的软件制造商名称。 ZIRCONIUM 似乎运行着许多路由器网络来促进这些操作。它们被分层并被战略性地使用。如果调查这些 IP 地址，它们应该主要用作源 IP，但有时它们会将植入流量指向网络。从历史上看，他们做了经典的 I have a dnsname -> ip 方法用于 C2 通信。他们已经将流量转移到路由器网络中。这使他们能够灵活地在多个层次上操纵交通目的地，同时减慢追逐元素的努力。另一方面，他们能够在目标国家退出，以_某种程度上_逃避基本的检测技术。

ZIRCONIUM 似乎运行着许多路由器网络来促进这些操作。它们被分层并被战略性地使用。如果调查这些 IP 地址，它们应该主要用作源 IP，但有时它们会将植入流量指向网络。 — bk (Ben Koehl) (@bkMSFT) 2021 年 7 月 21 日黑客多年来一直使用受感染的家庭和小型办公室路由器在僵尸网络中使用，这些僵尸网络发动严重的拒绝服务攻击，将用户重定向到恶意站点，并充当执行暴力攻击、利用漏洞、扫描端口以及从被黑目标中窃取数据。 2018 年，思科 Talos 安全团队的研究人员发现了 VPNFilter，这是一种与俄罗斯国家黑客有关的恶意软件，感染了超过 500,000 台路由器，用于广泛的恶意目的。同年，Akamai 的研究人员详细介绍了使用 UPnProxy 技术的路由器漏洞。担心他们的设备受到威胁的人应该定期重启他们的设备，因为大多数路由器恶意软件无法在重启后幸存下来。用户还应确保远程管理已关闭（除非确实需要并被锁定）并且 DNS 服务器和其他配置没有被恶意更改。与往常一样，及时安装固件更新是个好主意。看起来世界需要自己的防火墙来检查来自中国和俄罗斯的所有流量。我怀疑大部分流量不是来自中国。它正在利用国家受损的设备，而 C&C 的东西很可能在 AWS 或其他一些云托管公司中