美國成功瓦解 RapperBot 僵屍網絡
美國司法部已指控一名22歲的俄勒岡州男子,該男子涉嫌運營 RapperBot,一個大型的僵屍網絡租用服務,該服務在2025年4月至8月期間發動了超過37萬次分散式阻斷服務 (DDoS) 攻擊。這個僵屍網絡由成千上萬被攻陷的物聯網設備組成,與今年最具破壞性的攻擊事件有關,其中包括2025年3月導致 Twitter/X 暫時下線的攻擊。
嫌疑人的逮捕
聯邦特工於8月6日逮捕了俄勒岡州斯普林菲爾德的 Ethan J. Foltz,並接管了 RapperBot 的管理基礎設施。根據刑事訴狀,Foltz 承認與網名為 “Slaykings” 的合夥人一起運營該僵屍網絡。他們將網絡出租給付費客戶,這些客戶中許多人利用該服務對企業進行勒索。中國的賭博運營商是最常見的受害者之一,攻擊事件也在日本、美國、愛爾蘭和香港被記錄。
RapperBot 的運作機制
RapperBot 又被稱為 “Eleven Eleven Botnet” 和 “CowBot”,直接繼承自自2016年以來一些最大規模的 DDoS 事件的 Mirai 惡意軟體。這個僵屍網絡大量借鑒了 fBot 或 Satori,並通過暴力破解 Telnet 和 SSH 憑證來攻陷路由器、DVR 和其他物聯網設備。這些設備一旦被攻陷,就成為能夠壓垮幾乎任何線上服務的網絡的一部分。在 Foltz 被捕時,RapperBot 已經在全球控制了約6.5萬到9.5萬台設備。
攻擊規模
這個僵屍網絡能夠發動流量在兩至三太比特每秒之間的攻擊,一些攻擊活動甚至超過了六太比特。調查人員指出,這樣的流量規模遠超過典型數據中心服務器的容量。大多數客戶只能發動短暫的一分鐘流量攻擊,但信任的客戶則可獲得更長時間和更具破壞性的攻擊權限。除了 DDoS 租用外,RapperBot 也被用來劫持設備的計算資源以開採加密貨幣,為運營者提供了額外的收入來源。
調查過程
調查人員通過一系列數位線索追查到 Foltz,其中一個命令伺服器託管在亞利桑那的一家 ISP,並通過 PayPal 支付。這個賬戶最終指向了 Foltz 的 Gmail 地址,後者顯示了他多次搜索 “RapperBot” 和競爭僵屍網絡的更新。當面對質詢時,Foltz 承認了他的角色,甚至提供了與 Slaykings 合作的聊天記錄。在被捕前,他告訴他的合作夥伴,他發現了32000個新的易受攻擊的設備,並宣稱 “我們再次擁有社區中最大的僵屍網絡。”
國際協作與未來展望
RapperBot 的瓦解是國際行動 Operation PowerOFF 一部分,旨在拆除 DDoS 租用服務。亞馬遜網絡服務協助識別遍布39個國家的命令與控制伺服器,並通過逆向工程來繪製其運作圖。案件在阿拉斯加地區法院起訴,部分受感染的設備位於該地。
雖然 Foltz 最高可能面臨10年的監禁,但法律專家指出初犯不太可能有如此重的判決。RapperBot 的瓦解是重大里程碑,表明執法機構和行業合作能夠瓦解即使是大型且管理良好的 DDoS 操作,但它也提醒我們,物聯網僵屍網絡的生態系統仍在不斷演變。