調查局破Necurs殭屍網路在台裝置 源頭竟是LED燈開關
「殭屍網路」主要是透過惡意殭屍程式在全網進行掃描,一旦發現有漏洞的電腦、硬體等設備就會馬上入侵控制,對特定伺服器同時發起訪問,造成對方網路癱瘓,讓它們像殭屍一樣失去「意識」無法正常執行,再以新的殭屍設備為跳板感染其他設備,少則有幾千台,多則達到數百萬台,組成殭屍網路,並在 C2 端(控制者)的指令下統一行動。
微軟於2012 年首次發現由數百萬台僵屍設備所組成的Necurs僵屍網路,在過去 8 年裡,Necurs發展成為全球最大的垃圾郵件傳播組織,每小時可向全球電腦發送 500 萬封電子郵件,向金融業散布木馬程式、勒索挖礦軟體、竊取線上個資與機密資料。在微軟的一項 58 天調查中發現,一台感染 Necurs 的電腦共發送了380萬封垃圾郵件,潛在受害者多達 4,060 萬。
微軟透過大數據及機器學習演算法掌握到Necurs的情資,分享給全球35個國家的執法單位,並於2020年3月10日,進行全球性大規模掃蕩行動,成功摧毀Necurs。其中,調查局也獲得台灣受害的IP位址及其連線控制中繼站IP位址等相關情資,自2017年4月開始迄今,台灣約有超過4.8萬個IP位址受不明人士控制,更有多達23萬個網路IP遭受入侵。
調查局指出,台灣DCU團隊一名眼尖的分析師在監控螢幕上發現了不尋常的訊號,而相關訊號在1個月內增加了100倍,經研究後發現它涉及40萬個公開的IP位址,隨後再縮小範圍到90個可疑IP,並在其中找到了1個連結數十種攻擊活動的IP,且該IP在1週內傳送多達1TB的惡意程式、網釣郵件、勒索軟體,以及分散式阻斷服務攻擊等。
調查局藉由DCU所提供的情報,循線追查此一非法的VPN IP,並找出藏匿在VPN背後的帳號,發現該非法帳號來源於北部鄉下一棟辦公大樓內,而令人驚訝的是,攻擊源頭並非透過被駭客入侵的電腦,而是一個LED燈光控制裝置,調查局也已將它關閉,讓受害範圍僅限於台灣內被駭的少數電腦。
不過,在2015 年 10 月的一次國際聯合行動中也曾摧毀了過Necurs 殭屍網路,但它又再次復活,雖然它有所「收斂」,但每隔一段時間似乎都有新的迭代版本出現,因此微軟這次的破壞成效還不能確定 Necurs 是否將捲土重來;在這次行動後,調查局和微軟DCU台灣團隊將定期討論網路威脅的趨勢與情報。◇