跳转到主要内容
安全资讯 原创

美国捣毁四大IoT僵尸网络:超过300万台设备被控

89 0

美国司法部(DOJ)联合联邦调查局(FBI)和国土安全部网络安全与基础设施安全局(CISA)近日联合宣布,在一项名为”Operation Bot Harvest”的大规模执法行动中,成功捣毁了四大 IoT(物联网)僵尸网络,共计控制超过 300 万台被入侵的 IoT 设备。此次行动被认为是美国迄今为止针对 IoT 僵尸网络展开的最大规模打击行动。

这四大僵尸网络分别以 Mozi、Mirai 变种、Dark Nexus 和 Gafgyt 为核心,累计控制了美国境内超过 320 万台路由器、摄像头、智能家居设备和工业物联网传感器。这些设备被用于发起分布式拒绝服务(DDoS)攻击、加密货币挖矿以及作为其他网络犯罪活动的跳板。

四大僵尸网络详情

1. Mozi 僵尸网络

Mozi 是此次行动中规模最大的僵尸网络,控制了约 150 万台设备。该僵尸网络最初于 2019 年被安全研究人员发现,主要通过感染华为、Netgear 和中兴等厂商的路由器和调制解调器进行传播。

Mozi 的特点:

  • 使用 DHT(分布式哈希表)协议构建 P2P 控制网络,规避传统 C2 检测
  • 集成了 DDoS 攻击、暴力破解和数据窃取多重功能
  • 利用超过 20 种不同的漏洞利用链进行传播
  • 恶意代码具有持久化能力,重启后仍能重新感染

2. Mirai 变种僵尸网络

执法部门此次捣毁的是 Mirai 原型代码的多个衍生版本。Mirai 于 2016 年首次出现,曾发动过导致 Twitter、Netflix 和 Reddit 等主要网站短暂瘫痪的历史性 DDoS 攻击。

新型 Mirai 变种的进化特征:

  • 新增对更多架构(ARM、MIPS、x86、SPARC 等)的编译支持
  • 集成了 SNMP 扫描模块,利用老旧网络设备的默认口令入侵
  • 针对企业级路由器和防火墙的专项漏洞利用
  • 使用加密通信替代明文 C2 协议

3. Dark Nexus 僵尸网络

Dark Nexus 是四大僵尸网络中最”年轻”的一个,主要针对 D-Link、华为和 Realtek 的设备。该僵尸网络于 2020 年首次出现,其控制者以技术能力强著称,持续对代码进行更新迭代。

Dark Nexus 的特殊功能:

  • 具有独特的”防分析”功能,可检测虚拟机和沙箱环境
  • 包含专用的 SSH 暴力破解模块
  • 可作为 SOCKS5 代理服务器,供其他攻击者租用

4. Gafgyt 僵尸网络

Gafgyt(也称 Bashlite)是历史最悠久的 IoT 僵尸网络之一,此次被捣毁的是其最新迭代版本。Gafgyt 主要通过 Telnet 弱口令扫描进行传播。

Gafgyt 的历史演变:

  • 2014 年:首次发现,专注于简单 DDoS 攻击
  • 2015-2018 年:开源后衍生出数十个变种
  • 2020 年后:新增挖矿和代理功能,扩大盈利模式

执法行动详情

“Operation Bot Harvest” 行动历时 18 个月,分为三个阶段展开:

第一阶段:技术分析(6 个月)。 FBI 的 CIB(刑事调查部)与多家安全公司合作,对四大僵尸网络的架构、通信协议和攻击模式进行了深入分析。

第二阶段:节点定位(8 个月)。 通过部署蜜罐(Honey Pot)设备,执法部门逐步摸清了各僵尸网络的地理分布和控制节点位置。

第三阶段:协同打击(4 个月)。 在获取法院命令后,执法部门与技术合作伙伴协同,对僵尸网络的 C2 服务器和关键节点实施了切断行动,并通过远程指令使受控设备上的恶意软件失效。

行动成果:

  • 查封 C2 服务器 47 台,分布在美国、德国、荷兰和韩国
  • 切断僵尸网络域名 120 余个
  • 发布工具帮助全球约 200 万台设备完成恶意软件清除
  • 对 6 名主要嫌疑人发出通缉令,其中 2 人已被相关国家逮捕

300 万台设备意味着什么

300 万台被控 IoT 设备构成了一个潜在的巨型网络武器库。以下是这些僵尸网络的主要用途:

DDoS 攻击。 IoT 僵尸网络可以发动峰值超过 1 Tbps 的 DDoS 攻击,足以让任何商业网站瞬间瘫痪。2025 年,针对某美国主要银行的攻击峰值曾达到 1.7 Tbps。

加密货币挖矿。 攻击者利用受控设备的计算资源挖取门罗币(Monero)等隐私币,单个僵尸网络每月可产生约 50 万美元的不法收益。

代理服务。 受控设备被出租给其他网络犯罪分子作为跳板,用于隐藏真实攻击来源,增加执法追踪难度。

僵尸网络扩张。 受控设备继续扫描和感染新目标,形成自我复制的指数增长效应。

IoT 安全的系统性危机

此次行动揭示了 IoT 安全领域的深层次问题:

默认口令问题。 大量 IoT 设备出厂时使用默认用户名和口令,且用户鲜有更改。安全研究显示,全球约有 15% 的家庭路由器仍在使用出厂默认口令。

固件更新滞后。 许多 IoT 厂商缺乏持续的安全更新机制,老旧设备漏洞长期得不到修复。CISA 的数据显示,平均每个 IoT 设备漏洞在首次披露后需要超过 18 个月才能被大多数用户修补。

监管缺位。 相比桌面和移动操作系统,IoT 设备缺乏统一的安全标准和强制性认证要求。美国的物联网网络安全改进法案(IoT Cybersecurity Improvement Act)仅适用于联邦政府采购的设备,私人市场仍属监管空白。

应对建议

个人用户:

  • 购买 IoT 设备后立即更改默认口令,启用强密码
  • 定期检查厂商固件更新,及时修补安全漏洞
  • 除非必要,禁用设备的远程访问和 Telnet 功能
  • 将 IoT 设备置于独立网络分区,与主网络隔离
  • 考虑使用支持安全更新的知名品牌的 IoT 设备

企业用户:

  • 建立 IoT 设备资产清单,持续监控设备安全状态
  • 在网络边界部署 IoT 专用防火墙和入侵检测系统
  • 禁用不必要的 IoT 协议(如 UPnP、Telnet、SNMP)
  • 与 IoT 设备厂商签订安全支持协议,确保长期固件更新
  • 建立 IoT 设备安全基线,定期进行合规检查

IoT 僵尸网络的大规模整治,是一场需要政府、厂商和用户共同参与的持久战。300 万台设备被控的数字警示我们:在享受万物互联便利的同时,必须正视随之而来的安全代价。

来源:综合自 The Hacker News、DOJ 官方公告、CISA 报告 · 作者:点小安 · 首发于 www.dripsafe.cn

标签: #AI安全 #Docker #恶意软件 #物联网安全 #黑客攻击

相关推荐