你家里的平板、手机甚至智能灯泡,有没有可能正在替网络罪犯干活?荷兰警方与国家网络安全中心(NCSC)近日联合宣布,他们刚刚捣毁了一个由至少1700万台受感染设备组成的巨型僵尸网络,而这些设备的主人对此毫不知情。
根据荷兰警方与NCSC公布的信息,这个僵尸网络背后运行着超过200台位于荷兰的服务器,构成其命令与控制基础设施。被奴役的设备覆盖了电脑、平板、智能手机以及各类物联网产品,如此庞杂的终端被统一调度用于发起恶意攻击。警方从当地一家托管服务商处查扣了部分关键服务器,随后该托管方主动将整个僵尸网络下线,切断了犯罪链条。
虽然官方通稿没有直接点出僵尸网络的具体名称,但本地媒体NL Times报道,涉事服务指向一家名为Asocks的公司。这是一家公开经营住宅代理(residential proxy)业务的平台,其官网明确列出按月订阅的企业代理、住宅代理与移动代理套餐,定价在5美元到15美元之间;如果一次性购买10至100个代理,还能享受5%至15%的批量折扣。价格层级看上去很透明,做的似乎只是流量中转的普通生意。
但2024年4月,HUMAN公司的Satori威胁情报团队曾曝光一个被命名为PROXYLIB的攻击活动,其中大量安卓设备被悄悄安装了来自LumiApps和Asocks的代理软件。受害设备在机主毫无警觉的情况下,变身为代理节点,将网络流量经由这些用户的IP地址中转出去。这与Asocks所宣传的“住宅代理”模式高度吻合——只不过,其中一部分节点很可能根本不是由自愿分享带宽的普通用户提供的,而是被强行植入代理程序的肉鸡。
住宅代理本身并非原罪。用户通过它借用世界各地的真实住宅IP来访问仅限特定区域的内容,比如解锁本地流媒体服务、进行市场调研、保护浏览隐私等,都是常见的合法应用。然而这个生态同样笼罩着浓重的阴影:相当一部分代理供应商在向网络攻击者兜售被入侵设备的访问权限,让买家通过付出低廉月费,就能把恶意流量混入千万个普通家庭的IP地址里,极大增加了追踪难度。从DDoS攻击、撞库尝试到网络爬虫滥用,这些看似无害的智能设备一旦成了代理节点,便成了黑色产业链的基础设施。
NCSC在公告中对感染过程做了通俗解释:“某台设备如果能被恶意行为者触及,就可能成为僵尸网络的一部分。一旦攻击者获得访问权,就可以安装恶意软件,使设备被远程操控,进而令其加入一个用于网络犯罪活动的网络。”也就是说,不管是因为系统漏洞、弱密码,还是用户无意间安装了非官方渠道的应用,只要门被打开,设备就会在不知不觉中沦为他人的提线木偶。
基于这次大规模僵尸网络的发现与清理,NCSC给出了一套具体的防御建议,对个人用户和边缘设备管理者都相当实用。保持操作系统和软件的最新状态,是封堵已知漏洞最基础的一环;尤其是那些容易被遗忘的角落,比如路由器、智能摄像头等边缘设备,必须纳入常态化的监测视野,不能装上之后就再不理会。密码策略方面,立刻修改所有出厂默认密码,为每台设备设置足够复杂且唯一的强密码;同时,任何支持双因素认证的地方都应该立即开启,用额外的一层验证挡住大部分自动化的闯入尝试。在软件下载上,务必只从可信的官方应用商店或厂商渠道安装程序,远离那些捆绑了不可见模块的第三方站点。家中的Wi-Fi网络也需用WPA2或WPA3级别的加密方式进行保护,避免攻击者通过网络层面的监听或劫持进一步渗透内部设备。
荷兰警方的这次行动虽然在清除服务器端上取得了成效,但1700万这个数字更像是一个提醒:绝大多数沦为僵尸节点的设备,至今仍然躺在用户身边,毫无异常表现,却随时可能被下一批犯罪者重新激活。把设备的基础安全维护当成一种日常习惯,或许才是真正把这个庞大数字向下压缩的起点。
热门跟贴