News · 5 min read

美国取缔了破纪录的僵尸网络,但情况反而更糟了

美国司法部近期捣毁了多个大规模僵尸网络,但被释放的受感染设备迅速流入了其他犯罪网络手中。这不仅揭示了网络安全治理的困境,也提醒普通用户必须加强自身设备的固件安全。

Reading in Chinese (Simplified)
By Daniel Benson 5 min
美国取缔了破纪录的僵尸网络,但情况反而更糟了

三百万台僵尸设备,而且还在增加

美国司法部已证实取缔了一批僵尸网络集群,包括 Aisuru、Kimwolf、JackSkid 和 Mossad,这些网络在全球范围内感染了超过 300 万台设备。许多被入侵的设备隐藏在普通的家庭网络中,在主人毫无察觉的情况下,愉快地参与了破纪录的网络攻击。

这次最新的行动为美国及国际执法部门一系列非凡的僵尸网络打击行动画上了句号。但正如我们反复看到的那样,拆除一个犯罪网络往往只是为下一个网络清除了障碍。

Aisuru 问题:破纪录的 DDoS 威力

Aisuru 僵尸网络及其相关变体制造了一些令人瞠目结舌的 DDoS 攻击。根据 Cloudflare 的 2025 年第四季度威胁报告,Aisuru 在 2025 年下半年不断刷新纪录,最终达到了每秒 31.4 太比特(Tbps)的惊人攻击强度。这足以让大多数互联网基础设施陷入瘫痪。

凭借超过 300 万台受感染设备,其中许多是路由器、摄像头和智能家居小工具等日常消费类硬件,Aisuru 组装了有史以来记录中最强大的 DDoS 武库之一。你的宽带路由器可能一直在帮助瘫痪大型在线服务,而你却对此一无所知。

RapperBot:37 万次攻击和一个非常容易被谷歌搜索到的嫌疑人

要理解 Aisuru 的情况,请回顾 2025 年 8 月对 RapperBot 的取缔。这种基于臭名昭著的 Mirai 僵尸网络代码构建的租用式 DDoS 服务,感染了 6.5 万至 9.5 万台物联网设备,并针对 80 个国家的 1.8 万名受害者发起了超过 37 万次攻击。

其记录到的最大攻击强度超过每秒 6 太比特,典型的攻击强度在 2 到 3 Tbps 之间。其目标包括美国国防部信息网络,至少被攻击了三次。RapperBot 还被认为与 2025 年 3 月 10 日高调的 X(前身为 Twitter)宕机事件有密切联系,埃隆·马斯克曾公开称其为“大规模网络攻击”。据报道,它甚至在中国的春节期间对 DeepSeek 发起了攻击。这真是一场机会均等的混乱。

运营者是来自俄勒冈州的 22 岁青年 Ethan Foltz,他于 2025 年 8 月 19 日作为“PowerOFF 行动”的一部分被指控。Foltz 与一名仅被称为“SlayKings”的同伙合作,以每次 500 到 10000 美元的价格出售攻击服务。他面临最高 10 年的监禁。

他所展现的操作安全性,委婉地说,实在令人不敢恭维。调查人员通过他的 PayPal 记录以及他从自己的账户中进行的 100 多次“RapperBot”谷歌搜索部分识别出了 Foltz。一百次搜索。从他自己的账户。有志于从事网络犯罪的人,请注意了。

关键点在于:当 RapperBot 被拆除时,那些成千上万台被感染的设备并没有奇迹般地变得安全。它们依然存在漏洞,依然运行着过时的固件。Aisuru 像一月大甩卖时的扫货者一样将它们悉数收入囊中,并变得更加强大。据报道,Aisuru 的运营者在 Foltz 被捕后嘲笑了他,这足以说明其中的竞争态势。

SocksEscort:十六年的犯罪代理服务

美国和欧洲刑警组织在 2026 年 2 月开展了一次联合行动,拆除了 SocksEscort。虽然不如 DDoS 那些头条新闻引人注目,但其存续时间之长令人瞩目:这个犯罪代理网络已经运行了大约 16 年。

SocksEscort 感染路由器并将它们变成代理节点,让犯罪分子可以通过无辜者的家庭连接来路由流量。在取缔时,大约有 8000 台路由器被感染,仅美国就有 2500 台。在其生命周期内,该网络提供了对 163 个国家/地区 36.9 万个 IP 地址的访问权限。

美国当局没收了 350 万美元的加密货币。欧洲刑警组织查封了 7 个国家的 34 个域名和 23 台服务器。十六年的犯罪企业,最终被相当利落地清理掉了。

大局观:极其昂贵的“打地鼠”游戏

这些取缔行动代表了真实且协调的努力。包括 Akamai、AWS、Cloudflare、Google 和 PayPal 在内的大型科技公司协助了调查。但这些数字讲述了一个令人不安的故事。DDoS 攻击在 2025 年激增了 121%,全球攻击总量达到 4710 万次。RapperBot 的峰值是 6 Tbps;而在其被取缔后的几个月内,Aisuru 就达到了 31.4 Tbps。

根本问题仍未解决。全球网络中存有数百万台不安全的物联网设备,其防御能力薄弱得像纸一样。当一个僵尸网络倒下时,这些易受攻击的设备就会被下一个运营者吸收。

英国用户真正应该做的事情

对于我们身处英国的人来说,这并非遥远的美国问题。这些僵尸网络在 80 多个国家运行,而像 SocksEscort 这样的代理网络横跨 163 个国家。DDoS 攻击 121% 的激增同样严重影响着英国的企业和基础设施。

实用的建议既无聊又必要:定期更新路由器固件,更改每台联网设备的默认密码,并停止认为你的智能家居套件太不起眼而不会成为目标。事实并非如此。如果说有什么不同的话,那就是不起眼反而让设备具吸引力,因为制造商不太可能为它们提供补丁。

当局正在使用越来越大的木槌玩“打地鼠”游戏,这是值得称赞的。但如果不解决数百万台不安全联网设备的根本问题,每一次取缔都有可能只是犯罪资源的暂时重组。Foltz 面临监禁。下一个利用同样未打补丁设备的人呢?可能已经在行动了。

阅读原文请访问 source

D
Written by

Daniel Benson

Writer, editor, and the entire staff of SignalDaily. Spent years in tech before deciding the news needed fewer press releases and more straight talk. Covers AI, technology, sport and world events — always with context, sometimes with sarcasm. No ads, no paywalls, no patience for clickbait. Based in the UK.