荷兰警方捣毁逾1700万设备组成的僵尸网络

荷兰当局宣布，警方与国家网络安全中心（NCSC）联合开展专项行动，成功摧毁了一个由逾1700万台设备组成、由200台服务器控制的大型僵尸网络。

此次行动于周四正式对外公布，起因是一名安全研究人员向当局举报了这一规模庞大的非法网络，其托管基础设施位于荷兰境内。

荷兰国家网络安全中心表示："警方随即从一家托管服务商处查扣了多台僵尸网络服务器，以供进一步调查。由于该僵尸网络被用于从事犯罪活动，服务商已将其强制下线。"

据荷兰媒体NL Times周四的报道，该僵尸网络与总部位于俄罗斯的住宅代理服务商ASOCKS存在关联。住宅代理服务的核心功能是将用户的网络流量经由第三方设备中转，从而隐匿其真实位置或身份。此类服务常被滥用于非法或不道德的活动，包括发动DDoS攻击、运行僵尸网络指挥控制服务器、实施网络钓鱼以及批量抓取网站内容等。

尽管Ars无法独立核实NL Times的报道内容，但相关指控具有一定可信度。荷兰国家网络安全中心周四发布的通告中，链接了该非营利组织前一天发布的另一篇文章，该文章随后也被更新，加入了指向周四通告的链接。周三发布的这篇文章标题为《住宅代理及其对荷兰数字安全的重大影响》，文中警告称："住宅代理被用于维持匿名性和规避地理限制。借助这一手段，攻击者可以利用与'正常'流量高度相似的荷兰本地代理对荷兰机构发动攻击，使网络犯罪防范工作更加困难。"

2024年，安全公司Human的研究人员发现证据显示，一个名为Proxylib的僵尸网络与ASOCKS存在关联。相关证据包括：Proxylib感染设备的IP地址及端口号出现在ASOCKS代理列表接口的返回结果中，以及通过受感染测试设备发出的请求流量经由asocks[.]com出口。在Google Play商店中，多达28款应用程序在用户不知情的情况下，将约19万台设备悄然接入了这个总部位于俄罗斯的代理网络。

Ars就此事向ASOCKS发送了采访邮件，截至发稿未收到任何回复。

目前尚不清楚此次被荷兰警方取缔的僵尸网络究竟通过何种方式控制了这1700万台设备。通常情况下，设备感染途径主要包括：软件漏洞遭到利用，或用户安装了恶意应用程序。部分应用会以隐蔽或字体极小的文字对此类行为进行披露，另一些则会直接说明代理用途。

为防止设备被卷入僵尸网络，用户应及时安装安全更新，避免继续使用已停止接收更新的软件或设备。在安装应用前应充分调研，且仅在确有实际需求时方可安装，不再使用的应用则应及时卸载。

Q&A

Q1：这次被摧毁的僵尸网络规模有多大？是怎么被发现的？

A：此次被荷兰警方联合国家网络安全中心摧毁的僵尸网络规模极为庞大，共涉及逾1700万台受控设备，由200台服务器进行管理，托管基础设施位于荷兰境内。该网络的暴露源于一名安全研究人员的主动举报，当局随后对托管服务商处的相关服务器实施了查扣，并以"用于犯罪目的"为由将其强制下线。

Q2：ASOCKS提供的住宅代理服务有哪些常见的非法用途？

A：住宅代理服务通过将用户流量经由第三方设备中转来隐藏真实身份和地理位置，这一特性使其极易被滥用。常见的非法用途包括：发动DDoS攻击、搭建僵尸网络指挥控制服务器、实施网络钓鱼诈骗，以及大规模抓取网站内容等。此外，攻击者还可借助本地代理伪装成正常流量，对目标机构发动攻击，进一步增加安全防御的难度。

Q3：普通用户如何防止自己的设备被纳入僵尸网络？

A：用户可从以下几个方面加以防范：第一，及时安装操作系统和应用程序的安全更新，修补已知漏洞；第二，停止使用已不再获得官方更新支持的软件或设备；第三，在安装任何应用程序前充分调研其来源和权限要求，仅安装确有实际用途的应用；第四，对于已不再使用的应用程序，应及时卸载，降低潜在风险。