荷兰警方捣毁 1700 万台设备组成的僵尸网络,背后是俄罗斯住宅代理网络
住宅代理网络是网络黑产中利润丰厚的一环。被劫持设备的 IP 地址被伪装成普通家庭宽带用户,使得基于 IP 的反欺诈系统难以识别。这种技术被广泛用于大规模数据抓取、虚假流量生成和绕过地区限制等场景。1700 万台设备的规模意味着这个网络每天可以产生数以亿计的代理请求。
用户端的防护措施其实并不复杂:更改路由器默认密码、及时更新固件、关闭不必要的端口转发、使用强密码保护物联网设备。但现实中,大多数家庭用户缺乏安全意识,也觉得这些措施太麻烦。这次事件可能是一个契机,推动互联网服务提供商和设备制造商在出厂设置中默认启用更强的安全配置,而不是把安全责任完全推给用户。
荷兰警方和国家网络安全中心联合行动,捣毁了一个由超过 1700 万台设备组成的大型僵尸网络。该网络由 200 台服务器管理,主机基础设施位于荷兰境内,据报与俄罗斯的住宅代理网络有关。
据 Ars Technica 报道,这次行动始于一名安全研究员向当局报告了这个庞大的网络。荷兰警方随后从一家托管服务商处查封了多台僵尸网络服务器。国家网络安全中心表示,该托管商已经将僵尸网络下线,原因是它被用于犯罪活动。
僵尸网络的核心运作方式是劫持普通用户的设备——包括路由器、物联网设备和个人电脑——作为代理节点。这些设备的主人通常毫不知情。住宅代理网络将这些被劫持设备的 IP 地址出售给需要隐藏真实来源的用户,常用于数据抓取、广告欺诈和网络攻击。
从网络安全的角度看,1700 万台设备的规模在全球僵尸网络历史中属于相当可观的数字。这意味着至少有 1700 万个家庭或企业的网络安全存在漏洞,可能是路由器使用了默认密码、物联网设备固件过期或个人电脑感染了恶意软件。僵尸网络的规模直接决定了其被滥用时的破坏力。
这次跨国联合行动展示了国际网络安全合作的模式:安全研究员发现威胁、报告给执法部门、执法部门协调基础设施所在地的托管商配合下线。但僵尸网络的特点是高度可替代性,下线一批服务器后,攻击者通常很快就会建立新的基础设施。持续的监测和用户端的安全意识提升才是根本解决方案。
这次行动也引发了关于国际网络安全执法合作的讨论。僵尸网络的管理服务器虽然位于荷兰,但其运营者据称在俄罗斯。跨境网络犯罪的执法一直是一个难题,因为不同国家的法律体系和执法意愿差异很大。荷兰警方的这次行动展示了在基础设施位于本国境内时的执法能力,但要追查幕后运营者仍然需要国际刑警组织和相关国家的配合。