執法部門瓦解由數萬台遭駭路由器組成的殭屍網路

週三，一個全球執法機構聯盟關閉了一個由數萬台遭駭客入侵的家庭和小型企業路由器組成的殭屍網路。

根據美國司法部週四發布的公告，此次行動針對的是 SocksEscort，該平台提供付費代理服務，並建立在一個由遭駭路由器組成的殭屍網路之上。該網路被用於實施各種犯罪，例如入侵受害者的銀行和加密貨幣帳戶，以及提交虛假的失業保險申領。司法部表示，由 SocksEscort 助長的犯罪活動使美國人損失了數百萬美元。

歐洲刑警組織（Europol）在關於此次行動的公告中表示，SocksEscort 殭屍網路據稱入侵了 163 個國家的超過 369,000 台路由器和物聯網設備，目前受感染的路由器「已與該服務斷開連接」。該執法機構表示，SocksEscort 被用於協助勒索軟體、分散式阻斷服務（DDoS）攻擊以及散布兒童性虐待內容（CSAM）。

歐洲刑警組織表示：「該犯罪服務的客戶支付授權費用以濫用這些受感染的設備，隱藏其原始 IP 地址以從事各種犯罪活動。在感染惡意軟體後，數據機的所有者並不會意識到他們的 IP 地址被用於非法活動。」

作為執法行動的一部分，SocksEscort 官方網站的內容已被替換為宣布沒收的通知。

根據追蹤 SocksEscort 並與執法部門合作進行拆除行動的網路安全公司 Black Lotus Labs 的說法，自去年 1 月以來，該殭屍網路約由 280,000 台路由器組成，並由名為 AVRecon 的惡意軟體驅動。

該公司在關於拆除行動的貼文中寫道：「這個殭屍網路構成了重大威脅，因為它專門向犯罪分子銷售。值得注意的是，超過一半的受害者位於美國或英國，這使得攻擊者能夠進行高度針對性的行動。」

2023 年，Black Lotus Labs 稱 SocksEscort 為「近年來所見針對小型辦公室/家庭辦公室（SOHO）路由器的最大殭屍網路之一」。

當時，網路安全記者 Brian Krebs 報導稱，SocksEscort 誕生於 2009 年，最初是一個銷售數千台遭駭電腦訪問權限的俄語服務。