"月行者行动"成功捣毁Anyproxy与5socks犯罪服务的僵尸网络

美国司法部联合荷兰国家警察、泰国皇家警察及网络安全公司Lumen Technologies旗下Black Lotus Labs，成功捣毁与非法代理服务Anyproxy和5socks关联的僵尸网络。三名俄罗斯公民及一名哈萨克斯坦籍嫌疑人被指控"共谋破坏受保护计算机系统"罪名。

核心犯罪事实

• 通过恶意软件感染全球老旧路由器（包括美国境内），在用户不知情下将其改造成代理服务器

• 通过Anyproxy.net和5socks.net网站出售被控设备访问权，两个域名由弗吉尼亚州某公司管理

• 5socks.net累计售出超7000个代理服务，月费9.95-110美元，非法获利达4600万美元

技术运作细节

1. 隐蔽性强：

• 仅约10%受感染设备被VirusTotal等常规工具识别为恶意

• 采用土耳其境内5台C2服务器，主要使用80端口通信

• 提供"租赁代理"服务，客户可匿名购买24小时IP:端口组合

• 支持加密货币支付，主要针对物联网和中小企业设备

• 被用于广告欺诈、DDoS攻击、暴力破解及数据窃取等非法活动

行业警示

• FBI本周发布紧急警报，指出攻击者专门利用停产路由器（EoL）的已知漏洞组建僵尸网络

• 中国黑客组织亦被曝利用同类漏洞构建僵尸网络，渗透美国关键基础设施

• 恶意软件可实现持久控制，每60秒至5分钟与设备通信维持访问

防护建议

1. 立即更换已停产的路由器设备

2. 禁用远程管理功能并定期重启设备

3. 监控异常网络流量，特别是对外部C2服务器的连接