美国-荷兰联手瓦解 7000 台设备代理僵尸网络
HackerNews 编译,转载请注明出处: 荷兰与美国执法部门联合行动,成功瓦解一个由数千台感染物联网(IoT)设备及报废(EoL)路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务,四名涉案人员——三名俄罗斯公民(37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin)与一名哈萨克斯坦公民(38岁的Dmitriy Rubtsov)已被美国司法部起诉,指控其运营并利用代理服务非法牟利。 据司法部披露,用户需按月支付订阅费(9.95至110美元/月),攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局(FBI)在俄克拉荷马州发现,大量家用与商用路由器遭黑客入侵并植入恶意软件,用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出,该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制(C2)服务器通信,其中半数以上受害者位于美国,加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”(Operation Moonlander),已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示,这两个平台指向“同一僵尸网络,以不同品牌运营”。 互联网档案馆的网页快照显示,5socks.net曾宣称每日提供“超7000个在线代理节点”,覆盖美国各州及全球多国,攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称,受感染设备被植入名为“TheMoon”的恶意软件,该软件此前还支撑另一名为Faceless的犯罪代理服务。目前,该公司已对僵尸网络基础设施实施流量黑洞处理,阻断所有已知控制节点的通信。 FBI在公告中表示,攻击者利用报废路由器中的已知安全漏洞植入恶意软件,获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令,包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现,主要针对Linksys路由器。 安全专家指出,用户购买代理服务后仅需通过IP地址与端口组合即可连接,且服务激活后无需额外认证,极易被滥用。为降低风险,建议用户定期重启路由器、安装安全补丁、修改默认密码,并在设备报废后及时更换新型号。Lumen警告称,代理服务将继续威胁互联网安全,因其允许攻击者隐匿于住宅IP背后,而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文