好消息先报:美国司法部与国防部下属的网络犯罪调查机构展开联合行动,清除了四个大型僵尸网络的指挥控制服务器。这四个僵尸网络的名字分别是 JackSkid、Mossad、Aisuru 和 Kimwolf,合计被入侵设备超过 300 万台。这些被劫持的设备经常被租给其他犯罪分子,用来发起压倒性流量的分布式拒绝服务攻击,也就是让网站和网络服务“下班”。
谁最出名?Aisuru 与 Kimwolf
Aisuru 与其衍生变种 Kimwolf 特别惹眼。根据行业防护厂商的分析,这两者合计就感染了超过 100 万台设备。Aisuru 擅长感染 DVR、网络设备和网络摄像头等,而 Kimwolf 则把目标拓展到 Android 设备,包括智能电视和机顶盒。
去年十一月,Aisuru 与 Kimwolf 联手对某客户发动了一个短暂但非常猛烈的攻击,峰值流量达到 31.4 Tbps,持续约 35 秒。这是迄今为止记录中最大的单次攻击之一。
这些僵尸网络都来自一个老家族
这四个被端掉的网络都是 Mirai 家族的变种。Mirai 最早出现于 2016 年,曾经推动一系列破纪录的攻击事件,并且把感染物联网设备作为常用手段。多年来,Mirai 的代码被不断修改、分叉,滋生出新的变体。
技术演进与新手段
- 更广的感染面:这些新变种能侵入 Mirai 早期无法触及的设备类型。
- 住宅代理滥用:Kimwolf 利用廉价的联网设备充当住宅代理,悄悄进入用户家庭网络,从路由器后面的设备继续扩散。
- 防护抗打击技巧:有时,操作者会把域名解析等基础设施转移到区块链上,以防止指挥服务器被劫持或关闭。
受害者与动机
这些僵尸网络的服务通常像“租用工具”一样被出售,客户范围包括对游戏服务器发起攻击者(例如影响多人在线游戏服务)以及针对独立网络安全记者的攻击。该类攻击既用于勒索,也用于网络恶作剧或竞争破坏。
执法与国际合作
司法部在宣布行动时表示,正在与加拿大和德国的执法机构合作,相关国家已对这些僵尸网络的运营者展开针对性行动。不过,行动公布时并未立即宣布逮捕结果。美国检察官迈克尔·J·海曼在声明中写道,美国将坚定保护关键互联网基础设施,追缉那些威胁其安全的网络犯罪分子。
结语:问题会消失吗?
安全研究员指出,尽管这次行动成功瓦解了几个大型僵尸网络,但网络犯罪分子不断演化工具和手法。有人提醒,这类拆除行动往往只是暂时性挫败:新的变种和新的僵尸网络随时可能出现。正如业内观察者所说,打击网络犯罪是长期工作,需要持续投入与国际协作。
