台破Necurs僵尸网路装置 源头竟是LED灯开关

【大纪元2020年04月21日讯】（大纪元记者袁世钢综合报导）名列2018年台湾十大威胁来源的Necurs僵尸网路对全球网路资安造成冲击。台湾法务部调查局于2019年8月接获微软台湾数位犯罪防治中心（DCU）通报，发现一个控制40万装置的僵尸网路；令人意外的是，调查局循线查出攻击源头竟是一个不起眼的LED灯控制装置，并立即将它关闭。

“僵尸网路”主要是透过恶意僵尸程式在全网进行扫描，一旦发现有漏洞的电脑、硬体等设备就会马上入侵控制，对特定服务器同时发起访问，造成对方网路瘫痪，让它们像僵尸一样失去“意识”无法正常执行，再以新的僵尸设备为跳板感染其它设备，少则有几千台，多则达到数百万台，组成僵尸网路，并在C2端（控制者）的指令下统一行动。

微软于2012年首次发现由数百万台僵尸设备所组成的Necurs僵尸网路，在过去8年里，Necurs发展成为全球最大的垃圾邮件传播组织，每小时可向全球电脑发送500万封电子邮件，向金融业散布木马程式、勒索挖矿软体、窃取线上个资与机密资料。在微软的一项58天调查中发现，一台感染Necurs的电脑共发送了380万封垃圾邮件，潜在受害者多达4,060万。

微软透过大数据及机器学习算法掌握到Necurs的情资，分享给全球35个国家的执法单位，并于2020年3月10日，进行全球性大规模扫荡行动，成功摧毁Necurs。其中，调查局也获得台湾受害的IP位址及其连线控制中继站IP位址等相关情资，自2017年4月开始迄今，台湾约有超过4.8万个IP位址受不明人士控制，更有多达23万个网路IP遭受入侵。

调查局指出，台湾DCU团队一名眼尖的分析师在监控萤幕上发现了不寻常的讯号，而相关讯号在1个月内增加了100倍，经研究后发现它涉及40万个公开的IP位址，随后再缩小范围到90个可疑IP，并在其中找到了1个连结数十种攻击活动的IP，且该IP在1周内传送多达1TB的恶意程式、网钓邮件、勒索软体，以及分散式阻断服务攻击等。

调查局藉由DCU所提供的情报，循线追查此一非法的VPN IP，并找出藏匿在VPN背后的账号，发现该非法账号来源于北部乡下一栋办公大楼内，而令人惊讶的是，攻击源头并非透过被骇客入侵的电脑，而是一个LED灯光控制装置，调查局也已将它关闭，让受害范围仅限于台湾内被骇的少数电脑。

不过，在2015年10月的一次国际联合行动中也曾摧毁过Necurs僵尸网路，但它又再次复活，虽然它有所“收敛”，但每隔一段时间似乎都有新的迭代版本出现，因此微软这次的破坏成效还不能确定Necurs是否将卷土重来；在这次行动后，调查局和微软DCU台湾团队将定期讨论网路威胁的趋势与情报。◇#

责任编辑：王愉悦