VPNFilter 恶意程序能降级 HTTPS

思科安全研究人员在进一步分析后发现，恶意程序 VPNFilter比早先以为的更强大更具破坏性。为俄罗斯政府工作的黑客利用 VPNFilter 在全世界感染了 50 万路由器，被感染的路由器品牌包括 Linksys、MikroTik、Netgear 和 TP-Link。现在研究人员报告，华硕、华为、中兴和 D-Link 等公司的路由器也遭到感染。思科研究人员从 VPNFilter 中发现了一个中间人攻击模块 ssler，攻击者能利用该模块向通过被感染路由器的流量注入恶意负荷，它甚至能悄悄修改网站发送的内容。ssler 还设计窃取敏感数据如密码，此类数据通常是加密传输，ssler 会尝试将 HTTPS 连接降级为明文 HTTP 连接。ssler  还特别为 Google、Facebook、Twitter 和 Youtube 的流量进行了调整，原因可能是这些网站提供了额外的安全功能，比如 Google 会自动将 HTTP 流量重定向到 HTTPS。ssler 还会去掉 gzip 提供的数据压缩，因为明文流量更容易修改。