感染了超數(shù)千臺路由器的僵尸網(wǎng)絡(luò)被強(qiáng)制拆除

2025-05-15 17:44:44　來源: 嘶吼RoarTalk

北京舉報(bào)

分享至

近期，美執(zhí)法部門搗毀了一個(gè)僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)在過去20年里感染了數(shù)千臺路由器，建立了兩個(gè)名為Anyproxy和5socks的住宅代理網(wǎng)絡(luò)。

在這次被稱為“月球登陸者行動(dòng)”的聯(lián)合行動(dòng)中，美國當(dāng)局與荷蘭國家警察、荷蘭公訴署和泰國皇家警察的檢察官和調(diào)查人員以及Lumen Technologies的黑蓮花實(shí)驗(yàn)室（Black Lotus Labs）的分析師合作。

相關(guān)文件顯示，至少從2004年起，這個(gè)現(xiàn)已被拆除的僵尸網(wǎng)絡(luò)就用惡意軟件感染了全球范圍內(nèi)較舊的無線互聯(lián)網(wǎng)路由器，允許未經(jīng)授權(quán)訪問受感染的設(shè)備，這些設(shè)備可以作為代理服務(wù)器在Anyproxy.net和5socks.net上出售。這兩個(gè)域名由弗吉尼亞州的一家公司管理，并托管在全球的服務(wù)器上。

僵尸網(wǎng)絡(luò)控制者需要加密貨幣進(jìn)行支付。用戶無需身份驗(yàn)證就可以直接與代理連接，正如之前的案例所記錄的那樣，這可能導(dǎo)致廣泛的惡意分子獲得免費(fèi)訪問權(quán)限。

考慮到來源范圍，只有大約10%的病毒在流行的工具（如VirusTotal）中被檢測到是惡意的，這意味著它們一直在高度成功地避開網(wǎng)絡(luò)監(jiān)控工具。此類代理旨在幫助隱藏一系列非法活動(dòng)，包括廣告欺詐、DDoS攻擊、暴力破解或利用受害者數(shù)據(jù)。

據(jù)悉，他們的用戶根據(jù)所要求的服務(wù)，每月支付9.95美元到110美元不等的訂閱費(fèi)。該網(wǎng)站的口號是”從2004年開始工作！“表明這項(xiàng)服務(wù)確實(shí)已經(jīng)提供了20多年。

這四名被告在包括一些網(wǎng)絡(luò)犯罪分子使用的網(wǎng)站在內(nèi)的多個(gè)網(wǎng)站上，將這兩種服務(wù)（推廣了 7000 多個(gè)代理）宣傳為住宅代理服務(wù)，據(jù)稱他們通過出售提供訪問 Anyproxy 僵尸網(wǎng)絡(luò)中受感染路由器權(quán)限的訂閱服務(wù)，非法獲利超過 4600 萬美元。

他們利用在俄羅斯互聯(lián)網(wǎng)托管服務(wù)提供商 JCS Fedora Communications 注冊并托管的服務(wù)器運(yùn)營 Anyproxy.net 和 5socks.net 這兩個(gè)網(wǎng)站。他們還使用荷蘭、土耳其及其他地區(qū)的服務(wù)器來管理 Anyproxy 僵尸網(wǎng)絡(luò)以及這兩個(gè)網(wǎng)站。

5Socks.net查封的橫幅

針對EoL路由器

聯(lián)邦調(diào)查局還發(fā)布了一份flash公告和一份公共服務(wù)公告，稱這個(gè)僵尸網(wǎng)絡(luò)的目標(biāo)是帶有TheMoon惡意軟件變種的補(bǔ)丁終了路由器。

聯(lián)邦調(diào)查局警告說，攻擊者正在安裝代理，以便在網(wǎng)絡(luò)犯罪租賃活動(dòng)、加密貨幣盜竊攻擊和其他非法行動(dòng)中逃避檢測。

通常被僵尸網(wǎng)絡(luò)攻擊的設(shè)備列表包括Linksys和Cisco路由器型號，包括：

·Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550

·Linksys WRT320N, WRT310N, WRT610N

·Cisco M10 and Cradlepoint E100

根據(jù)最新發(fā)現(xiàn)，一些使用壽命即將結(jié)束的路由器被發(fā)現(xiàn)受到了新版TheMoon惡意軟件的攻擊，這些路由器開啟了遠(yuǎn)程管理功能。這種惡意軟件允許惡意分子在毫無戒心的受害者路由器上安裝代理，并匿名進(jìn)行網(wǎng)絡(luò)犯罪。

這種住宅代理服務(wù)對犯罪黑客在實(shí)施網(wǎng)絡(luò)犯罪時(shí)提供匿名服務(wù)特別有用；與商業(yè)ip地址相反，住宅ip地址通常被互聯(lián)網(wǎng)安全服務(wù)認(rèn)為更有可能是合法的流量。通過這種方式，同謀者從出售被入侵路由器的訪問權(quán)中獲得了私人經(jīng)濟(jì)利益。

參考及來源：https://www.bleepingcomputer.com/news/security/police-dismantles-botnet-selling-hacked-routers-as-residential-proxies/

特別聲明：以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布，本平臺僅提供信息存儲服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.