荷兰当局本周宣布,在一项由警方与国家网络安全中心(NCSC)联合开展的行动中,成功瓦解了一个由超过1700万台受感染设备组成的僵尸网络。该网络通过200台服务器进行集中管理,托管基础设施位于荷兰境内。
据NCSC通报,此次行动源于一名安全研究员向当局报告了这一庞大的网络。随后警方从一家托管服务商处扣押了多台僵尸网络服务器进行调查,并最终由服务商以“用于犯罪目的”为由将该网络下线。NCSC在声明中指出,该网络已被彻底移除。
荷兰媒体NL Times报道称,该僵尸网络与一家名为ASOCKS的俄罗斯公司存在关联,后者主要提供住宅代理服务。这类服务允许用户通过第三方设备路由互联网流量,从而隐藏真实位置或身份,常被用于实施DDoS攻击、运行僵尸网络命令与控制(C2)服务器、开展钓鱼活动以及爬取网站内容等非法或不道德的行为。Ars Technica未能独立核实NL Times的报道,但指出相关信息存在交叉印证:NCSC在周四发布公告时,链接了前一天由同一非营利组织发布的帖子,该帖子随后被更新并添加了指向周四公告的链接。周三的帖子以“住宅代理及其对荷兰数字安全的重大影响”为题,警告称“住宅代理被用来保持匿名并规避地理限制,这使得荷兰组织可能遭到使用荷兰代理的攻击,这些攻击流量与‘常规’流量高度相似,加大了网络犯罪缓解的难度”。
感染规模与既往关联
2024年,安全公司Human曾发现一个名为Proxylib的僵尸网络证据,该网络同样与ASOCKS存在关联。Human的研究人员观察到:由ASOCKS代理列表端点返回的IP地址和端口号中,包含被Proxylib感染的设备;同时,通过感染测试设备向asocks[.]com发起的请求也证实了连接的存在。此外,Google Play商店中的28款应用在不经用户同意的情况下,将多达19万台设备纳入了这个俄罗斯总部的代理网络。
关于本次被摧毁的1700万台设备究竟是如何被感染的,目前尚无确切信息。但在类似案例中,设备通常是通过利用软件漏洞或安装恶意应用的方式被纳入僵尸网络的。ASOCKS方面未回应媒体的置评请求。
此次执法行动再次凸显了僵尸网络与住宅代理服务的紧密联系。这类服务因其隐蔽性而被犯罪团伙广泛利用,使得防御方难以区分正常流量与攻击流量。荷兰警方与NCSC的联合行动,标志着对这类大规模网络基础设施的有力打击,同时也提醒用户关注设备安全和应用来源的可信度。
本文参考来源:Ars Technica
