Bleeping Computer 网站披露,美国司法部已经成功破坏了俄罗斯 RSocks 恶意软件僵尸网络。该僵尸网络在受害者不知情的状况下,入侵和劫持全球数百万台计算机、智能手机和物联网设备,用作代理服务器。
此次执法活动由 FBI 联合德国、英国和荷兰等国的警察部队共同发起,该僵尸网络在这些国家维持着部分基础设施。
僵尸网络是一个设备群,攻击者可以远程控制其进行包括 DDoS 攻击、加密货币挖掘和部署额外的恶意软件在内的各种行为。
在 RSocks 的案例中,攻击者利用僵尸网络将住宅电脑转换为代理服务器,允许僵尸网络的客户使用它们进行恶意活动。
这些服务的典型使用场景主要包括网络钓鱼操作、凭证填充、账户接管尝试等。此外,攻击者在使用代理服务时,执法部门很难追踪到。
秘密调查
FBI 特工一直在秘密调查 RSocks,也在秘密行动中绘制了 RSocks 基础设施的地图,并在 2017 年购买了大量代理。
根据美国司法部的说法,“客户”每天访问 2000 台代理计算机的费用为 30 美元,访问 90000 台代理的费用为每天 200 美元。
经过分析,调查人员确定了 325000 台被入侵的设备,其中许多位于美国。据称,RSocks 通过暴力破解这些设备的密码,并在被入侵的计算机上安装软件,将其变成代理服务器。
美国司法部指出,RSocks 僵尸网络的受害者主要是一些大型公共和私人实体,其中主要包括大学、酒店、电视演播室和电子制造商,以及家庭企业和个人。
值得一提的是,在三个受害地点,调查人员在征得同意的情况下,用政府控制的计算机(即蜜罐)替换了受感染的设备,随后这三个地方都被 RSocks 破坏了。
RSocks主页显示可用的服务(来源:Bleeping Computer)
值得一提的是,虽然此次国际执法行动严重破坏了 RSocks ,但没有逮捕任何人。
僵尸网络威胁
众所周知,僵尸网络对路由器和其他连接互联网的“智能”物联网设备等安全性较差的设备构成持续且不断变化的威胁,这些设备经常被忽视并在长时间无人监督的情况下运行。
为了保护物联网设备,所有者应始终将默认管理员密码设置为更强大且难以暴力破解的密码,应用最新的可用固件更新,并为与关键设备隔离的物联网设置单独的网络。
参考文章:
https://www.bleepingcomputer.com/news/security/russian-rsocks-botnet-disrupted-after-hacking-millions-of-devices/