【安全圈】美国司法部捣毁操控 300 万台设备的物联网僵尸网络

关键词

僵尸网络

周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。

此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。

美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。”

上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。

独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。

巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。

该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。

美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。”

这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令：

• AISURU：超 20 万条 DDoS 攻击指令

• Kimwolf：超 2.5 万条 DDoS 攻击指令

• JackSkid：超 9 万条 DDoS 攻击指令

• Mossad：超 1000 条 DDoS 攻击指令

亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。”

阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。

这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！