思科（Cisco）旗下的威脅情報組織Talos上個月揭露了相信是由俄羅斯駭客集團Fancy Bear主導的VPNFilter攻擊行動，該行動感染了全球54個國家的50萬台網路裝置，經過進一步分析後，Talos本周指出，VPNFilter的能力超乎當初的想像，不論是感染範圍或是惡意模組的能力都更形嚴重。

根據Talos上個月的初步分析，VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器，以及QNAP網路儲存裝置，也對基於Modbus SCADA協定的工業控制系統特別有興趣，它能監控裝置流量、竊取網站憑證，亦可切斷裝置的連網能力或讓裝置無法使用，還能長久進駐受駭裝置，無法藉由簡單的重開機移除它，而是得回復裝置出廠配置。

然而，本周Talos發現太小看VPNFilter的能力了，它的感染範圍不僅限於上述，還包括ASUS、D-Link、華為、Ubiquiti、UPVEL與中興等裝置；所搭配的惡意模組ssller亦能把HTTPS加密傳輸降級為HTTP傳輸，dstr模組則能移除VPNFilter的蹤跡與裝置運作的必要檔案。

分析顯示，ssller模組能夠攔截該裝置上所有藉由port 80遞送的流量，可竊取資料並注入JavaScript，以用來攻陷同一網路所連結的其它裝置，亦試圖將HTTPS傳輸降級至HTTP。

至於dstr模組則會移除裝置正常運作所需的檔案，以造成被駭裝置失效，在移除裝置上的檔案之前，它會先抹滅VPNFilter行動的蹤跡。

Talos警告，這些能力意味著假使駭客成功地入侵這些終端裝置，即可於該環境中部署任何的惡意功能，像是rootkit、竊取資料或毀滅裝置。