全球瞬间少了1700万个网络代理节点——这不是技术故障,而是一场精心策划的清剿行动。荷兰国家网络安全中心(NCSC)联合当地警方在上周晚些时候,将支撑这个庞大僵尸网络的200台服务器全部下线,连带让这1700万台设备恢复了“自由身”。
事件的时间线很短,但爆发力惊人:周四,NCSC对外宣布已“采取行动”,目标正是这些为犯罪活动提供基础设施的服务器。由于托管服务商主动配合,整个网络被彻底切断,没有任何回旋余地。官方并未公布僵尸网络的名称,不过科技媒体The Hacker News援引当地媒体NL Times的说法称,被关闭的服务指向一家名叫Asocks的住宅代理提供商。
Asocks并非第一次出现在安全圈的视野里。大约两年前,研究人员发现至少有二十余款免费的安卓VPN应用在暗中将设备吸纳进僵尸网络。当时HUMAN公司旗下的Satori情报团队指出,Asocks是一个总部位于俄罗斯的住宅代理服务商,经常在黑客论坛上向网络犯罪分子推销。它的定价很像正规生意:企业代理、住宅代理、移动代理价格在5到15美元之间,甚至还有明码标价的服务页面。但生意背后,设备的来源却大有文章。
代理服务本身有合法的市场,隐私保护和商业应用都是正当用途。可一旦设备是通过恶意软件在机主不知情的情况下被征用,性质就完全变了。NCSC对此直言:“当设备能被恶意行为者访问时,就可能成为僵尸网络的一员。攻击者获得访问权限后,会植入可远程控制的恶意软件,让设备变成网络犯罪活动的一部分。”这正是此次下线的核心逻辑:判断一个代理服务是否违法,不光看它被怎样使用,更关键的是终端设备是怎样被拉进网络的。没有用户同意,通过恶意代码偷偷吸收设备,那就是不折不扣的黑产。
换个角度想,1700万这个数字也折射出代理市场的“繁荣”假象。网络犯罪分子需要大量真实住宅IP来掩盖行踪,绕过风控系统,进行撞库、爬虫、虚假流量等操作。Asocks这类服务正好填充了需求,它把被感染的设备包装成资源,以低价出租,让攻击者像用共享充电宝一样随时获取干净的IP。这种模式极其隐蔽,普通用户根本察觉不到自己的手机或路由器正在为别人的“业务”提供通道。
好消息是,守护这类威胁的办法并不复杂。NCSC给出的建议很朴素:保持设备更新,并为每个入口设置高强度密码。因为大多数恶意软件正是利用已知漏洞和弱口令来扩散的。把这两件事做好,即便市场里再有黑产模式翻新,你的设备也不容易成为那个被出售的节点。
热门跟贴