1,700 萬部裝置 botnet 被拆:點解你部路由器會變犯罪跳板
Tech News

1,700 萬部裝置 botnet 被拆:點解你部路由器會變犯罪跳板

圖片:via Ars Technica — https://arstechnica.com/security/2026/05/botnet-of-more-than-17-million-devices-dismantled/
TechLab 編輯部(譯)·

重點唔係荷蘭,而係家居 IP 點樣被借走

1,700 萬部裝置 botnet 被拆:點解你部路由器會變犯罪跳板

圖:Ars Technica.原文連結

荷蘭警方同當地 National Cyber Security Centre(NCSC)今次拆走嘅唔只係一批伺服器,而係一個可以將普通家居上網線路變成攻擊跳板嘅大型 botnet。官方話調查發現,整個受控裝置群涉及至少 1,700 萬部受感染裝置,背後有 200 部位於荷蘭嘅伺服器負責支撐基建;事件由一名保安研究員向 NCSC 報告開始,其後警方介入,海牙警方 cybercrime team 亦向託管供應商檢取多部伺服器作調查。Ars Technica 報道重點係「17 million devices dismantled」,但對香港用家嚟講,更貼身嘅問題係:你屋企部路由器、IP cam 或 Android TV box,有冇可能一早已經被人借走條線?

官方公告未有公開香港感染數字,亦冇話香港係受害地區,所以唔應該將事件寫成「香港大量中招」。但今次事件揭示嘅技術模式,同香港家庭同中小企環境好接近:一條家居寬頻、一部長開路由器、幾個長期冇人理 firmware 嘅 IoT 裝置,就已經足夠變成攻擊者想要嘅資源。呢類 botnet 未必會即時令你部電腦彈警告;相反,最麻煩嘅係它可以靜靜地用你個 IP 發出請求,令外面網站以為流量來自一個正常家庭,而唔係數據中心、VPN 或明顯可疑嘅攻擊主機。

一個荷蘭拆網行動,真正重點係家居 IP

荷蘭警方同 NCSC 嘅講法相當直接:呢批伺服器控制大量受感染電腦、平板、手機同其他裝置,用嚟執行網上攻擊。警方公告亦解釋,botnet 可以由電腦、路由器、保安鏡頭等受惡意軟件感染嘅裝置組成,攻擊者可以遙距控制,機主好多時完全唔知情。用途就唔止 DDoS,仲包括寄 spam、釣魚電郵、網上詐騙,甚至用大量看似正常嘅連線去干擾網站服務。今次 200 部伺服器都位於荷蘭,令警方可以同託管供應商合作落手;但受控裝置本身可以分散喺世界各地,呢點正正係 botnet 難處理嘅地方。

有荷蘭媒體同安全媒體報道指,今次事件同 Asocks 住宅代理服務有關;不過官方公告本身未有直接點名,所以呢個關聯應該只當成「報道指」嘅背景,而唔係已確認結論。更值得拆解嘅係「住宅代理」呢件事。NCSC 另一篇 expert blog 解釋,residential proxy 係利用真正家居或消費者裝置嘅 IP 位址作中轉站,將客戶嘅流量經由普通用家條線出去。對網站防護系統嚟講,呢類 IP 通常比數據中心 IP、公開 VPN 或明顯代理服務更似真人,所以更難一刀切封鎖。

住宅代理點解咁難擋

住宅代理本身唔一定必然犯法,例如有人自願安裝 proxy 軟件,以換取繞過地區限制或某種回報;問題係市場入面存在好多灰色同惡意取得方式。NCSC 將來源大致分成幾類:有人明知自己分享連線,有人只係用免費 VPN、免費串流工具、瀏覽器 extension 或 app 時,在細字條款入面「同意」咗分享 IP;更壞嘅情況,就係裝置中咗惡意軟件,完全唔知自己被加進 proxy 群。NCSC 甚至點名提到,預載惡意軟件嘅 IoT 裝置、Android TV box,或者有漏洞嘅邊緣裝置,都可以成為入口。

對攻擊者嚟講,住宅代理最大價值係「似真」。如果一個登入攻擊由數據中心連續打過嚟,好多網站可以好快擋低;但如果同一批密碼撞庫嘗試分散喺幾萬個家居 IP,防護系統就要分辨邊啲係真正客戶、邊啲係被借走嘅受害裝置。NCSC 列出嘅濫用場景包括 DDoS、釣魚同 spam、credential stuffing、用偷返嚟嘅登入資料扮正常地區用戶、click fraud、SMS pumping,以至惡意軟件分發。換句話講,受感染裝置未必係攻擊目標本身,更多時係幫攻擊者隱身嘅基建。

香港用家要查嘅,唔止電腦

香港未有今次荷蘭事件嘅公開感染數字,但 HKCERT 一直有 botnet detection and cleanup 資料,亦指出電腦、手機、IP cam 等智能裝置有機會受感染成為 botnet 一部分;HKCERT 過往亦提過會收集香港 IP 相關 botnet 連線資料,並透過 ISP 通知相關用戶。Mirai 個案更加貼地:HKCERT 2017 年已經提醒,Mirai 針對路由器、IP cam 等 IoT 裝置,並曾取得香港感染資料向相關 ISP 作清理通知。呢啲唔等於今次荷蘭 botnet 有香港個案,但足以說明本地家居同小型辦公室裝置並唔係旁觀者。

香港環境有幾個特別要留意嘅位。第一,好多租樓、劏房、舊樓或小型辦公室都會用一部寬頻路由器頂晒全場,設定好多年冇改,遠端管理、UPnP、舊 firmware 都可能長期存在。第二,IP cam、NAS、智能電視盒、Android TV box 同平價 IoT 插蘇好多時買返嚟即插即用,之後冇人再登入後台更新。第三,中小企可能將收銀系統、CCTV、訪客 Wi-Fi、員工電腦放喺同一個連線環境,一部弱裝置出事,就有機會拖埋其他系統落水。

自查清單:先由路由器開始

今次事件唔係叫所有人即刻恐慌格式化所有裝置,而係要重新檢查屋企同公司邊啲機長期暴露喺網上。最先查嘅應該係路由器管理頁:確認 firmware 係供應商仍支援版本、關閉唔需要嘅遠端管理、改走預設管理員密碼、Wi-Fi 用 WPA2 或 WPA3,並檢查連線裝置清單有冇陌生名稱。舊型號如果已經多年冇安全更新,就算仲上到網,都應該當成風險資產,而唔係「未壞就唔換」。

  • 路由器 / Mesh Wi-Fi:更新 firmware、改預設密碼、關閉遠端管理、檢查 UPnP 同 port forwarding。
  • IP cam / NAS / Android TV box:確認來源可信,移除唔用嘅 app,同時檢查有冇異常外連或高用量。
  • 手機同電腦:避免不明免費 VPN、proxy app、瀏覽器 extension,同只由官方 app store 或供應商網站下載軟件。
  • 公司 IT team:為 IoT、CCTV、訪客 Wi-Fi 分段,留意大量 CAPTCHA、IP 被封、登入嘗試異常、SOCKS/HTTP proxy 外連等訊號。
  • 收到 ISP 或 HKCERT 相關通知:唔好當 spam,先核對通知真偽,再按指引隔離、更新、掃描或重設受影響裝置。

要留意,住宅代理 botnet 最陰濕嘅地方係「你未必有明顯症狀」。有時只係上網慢少少、有時網站突然要求額外驗證、有時你屋企 IP 被某啲平台列入可疑名單;但背後可能係有裝置正被用嚟做外連。普通用家未必識睇封包,但至少可以定期登入路由器睇裝置名單,將唔識嘅裝置踢走,再逐部改密碼、更新同重開。中小企就應該有更正式嘅 asset list,知道公司入面有幾多部鏡頭、NAS、門禁、電視盒、打印機同路由器,唔好等到 IP 被封先開始搵。

最後要問嘅唔係「我有冇中招」,而係「我有冇管」

今次荷蘭拆走 200 部伺服器,短期可以打斷一個大型 botnet 嘅控制基建;但住宅代理呢門生意唔會因為一次行動就消失。攻擊者要嘅係大量便宜、分散、似真人嘅家居 IP,而全球有太多長開、少更新、弱密碼、冇人管嘅裝置可以被揀中。香港用家同公司最實際嘅做法,唔係等官方公布某個 botnet 名單先反應,而係將路由器同 IoT 當成真實電腦去管理:有更新就裝、冇支援就換、唔用就關、唔明來源就唔裝。呢啲聽落基本,但正正係 botnet 最常食到嘅漏洞。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook