思科表示，俄羅斯政府可能啟動了一項復雜的惡意軟件攻擊行動，在全球54個國家（包括美國）至少有50萬臺路由器和其他設備受到感染，Talos的美國安全研究人員和思科的安全威脅研究團隊認為，這種威脅與APT28直接相關。

APT28也被稱為Fancy Bear，是2016年美國總統競選期間負責黑客事件的兩個俄羅斯團隊之一。

據Talos博客稱，雖然名為VPNFilter的惡意軟件襲擊了數十個國家，但現在它以“驚人的速度”瞄準了烏克蘭設備。

受VPNFilter影響的設備包括Linksys，MikroTik，NETGEAR和小型和家庭辦公室的TP-Link網絡設備以及QNAP網絡附加存儲（NAS）設備。

黑客通過VPNFilter竊取網站證書和數據，并且VPNFilter讓已經被感染的設備處于癱瘓狀態。VPNFilter的目標是組織網絡周邊的設備，這些設備往往難以防御，有數百個已知漏洞并且這些漏洞很難修補。

Talos表示，惡意軟件特別危險，因為它可能被用來進行大規模的全球攻擊，可能會切斷“全球數十萬受害者”的互聯網訪問。博客稱：“我們對這種狀況深表擔憂，這是我們在過去幾個月中一直在研究這種威脅的原因之一。”

今年4月，美國一家機構對英美兩國的組織發布一則警告，稱俄羅斯國家資助的黑客組織正在以他們的網絡基礎設施（如路由器）為目標。該警告是美國國土安全部（DHS），聯邦調查局（FBI）和英國國家網絡安全中心（NCSC）共同努力的結果。

思科表示無法確認俄羅斯的惡意軟件威脅是否與4月份的警報有關。

俄羅斯惡意軟件

一位發言人稱：“VPNFilter惡意軟件與BlackEnergy攻擊中使用的惡意軟件共享代碼，這種威脅可以追溯到APT28，我們深信本次的威脅與APT28有直接關系。”

BlackEnergy是用于執行分布式拒絕服務（DDoS）攻擊的惡意軟件，2015年黑客利用該惡意軟件來關閉烏克蘭部分能源網。

Talos的研究人員在5月8日和5月17日再次報告了烏克蘭VPNFilter感染的高峰，并表示：“截至此時，我們意識到BlackEnergy和VPNFilter之間的代碼重疊，隨著烏克蘭憲法日即將到來，新的攻擊可能在6月份發生。”

烏克蘭在6月28日慶祝憲法日，對烏克蘭的大規模攻擊也常常在這一節日前后進行。例如，2017年6月的NotPetya襲擊事件在烏克蘭的電腦上蔓延之后才傳遍全球。2015年圣誕節前兩天發生BlackEnergy惡意軟件攻擊。

發現VPNFilter后，思科通知Cyber Threat Alliance（CTA）成員，共享Talos的分析和惡意軟件樣本。CTA由17個頂級安全廠商組成，云主機，包括思科，McAfee，Fortinet，Palo Alto Networks和賽門鐵克，每天共享威脅信息。CTA博文表示，云主機，會員公司已經在使用新的威脅信息來為他們的客戶開發保護和緩解措施。