美国司法部3月20日放了个大招,直接干掉几个IoT僵尸网络的指挥控制服务器。这几个网络名字分别叫AISURU、Kimwolf、JackSkid和Mossad,全是Mirai变种,合起来控制了至少300万台设备。参与行动的除了美国,还有加拿大和德国执法部门,背后站着一长串科技巨头:Akamai、AWS、Cloudflare、Google、Oracle、PayPal等等,基本把能帮忙的都拉来了。
这次行动针对的攻击体量吓人。去年11月,Cloudflare监测到AISURU/Kimwolf搞出31.4Tbps的DDoS,只持续35秒就收手,直接刷新全球纪录。年底那段时间,它们平均每秒能甩出30亿个数据包、4Tbps流量、5400万请求。Akamai补充的数据更夸张,峰值冲到30Tbps以上、140亿包每秒、300Mrps。这样的火力,普通ISP和云防护根本扛不住,核心互联网基础设施都可能直接瘫。
最狠的是Kimwolf的玩法变了味。传统Mirai靠扫全网找弱口令,这家伙直接钻住宅代理网络的空子。先感染大量廉价安卓电视盒子、摄像头、路由器这些东西,再利用它们偷偷进入家庭内网。家用路由器本来把外网挡在门外,结果自家设备反水,等于开门揖盗。AWS的Tom Scholl直言,这招彻底颠覆了传统僵尸网络的扩张逻辑。
设备来源也很扎心。Kimwolf和JackSkid专挑那些“防火墙后面”的设备下手,感染超过200万台安卓设备,大部分是杂牌安卓电视。全球算下来300万台受害设备,美国境内就有几十万台。运营商卖的“网络即服务”模式更是明码标价,谁想打谁就买攻击权限,几百上千次DDoS命令随便发。
法院文件把四家网络的攻击次数列得清清楚楚:AISURU发过20多万次命令,Kimwolf超2.5万次,JackSkid9万多次,Mossad1000多次。光这些数字就够触目惊心。Akamai还提到,这些攻击不光瘫痪目标,有时候还直接勒索受害者交保护费。
主角之一被安全记者Brian Krebs扒了出来。Kimwolf管理员疑似加拿大渥太华23岁小伙Jacob Butler,外号Dort。他对Krebs说自己2021年后就不用这个马甲了,账号早被盗,现在基本宅家陪妈妈,原因是自闭症和社会交往障碍。另一嫌疑人是德国15岁少年。目前没人被抓,调查还在继续。
这事对加密圈也有间接影响。DDoS从来不是小打小闹,交易所、DeFi协议、链上节点一旦被打爆,流动性直接蒸发。BTC现报$70,463(24h -0.24%),ETH现报$2,138(24h -1.96%),市场本来就震荡,这类超大规模攻击再来一次,谁都吃不消。
IoT安全老生常谈,却年年出大事。廉价设备默认密码不改、固件多年不更新、厂商跑路不管售后,这些问题从来没真正解决。300万台设备沦陷,说明防护链条最薄弱的那一环还是用户终端。执法这次出手快准狠,断了C2是釜底抽薪,但新变种肯定还会冒出来。
黑产链条也很完整。从感染、控场到变现一条龙,“即买即用”的攻击服务门槛低到可怕。青少年都能玩得转,说明监管和教育两条腿都瘸了。希望这次行动能敲山震虎,让更多人意识到,家里的智能电视、摄像头不是玩具,是潜在的攻击弹药库。
僵尸网络进化速度远超想象。Mirai时代靠弱口令横扫,现在直接走内网渗透。下一个玩法可能更阴。全球执法和科技公司联手是好事,但要彻底根除,还得从源头把设备安全标准顶上去。否则今天300万,明天可能就是3000万。