神秘全球僵尸网络劫持家用路由器提供DDoS租用服务

一个不为人知的由家用路由器组成的全球性僵尸网络被黑客组织利用，实施DDoS和中间人攻击。

披露此事的安全公司Incapsula（最近被Imperva收购），最初是在2014年12月发现自己的一些客户被这个僵尸网络攻击。攻击网络大约涉及4万多个IP，1600个运营商，至少60台命令控制服务器。

几乎所有被控制的路由器似乎都为美国厂商Ubiquiti生产的一种使用ARM芯片的路由器，并在全世界销售。Incapsula检测到来自109个国家的攻击流量，尤其是泰国和路由器被入侵的重灾区，巴西。

被入侵的路由器似乎一开始都与两个漏洞有关。一个是设备的默认用户名和密码，另一个是路由器允许通过默认端口远程访问HTTP和SSH服务。一旦进入路由器，攻击者便会安装一些恶意软件，如Spike（也称布莱克先生），用来配置发动DDoS攻击。在1.3万个样本中还发现了其他的DDoS工具，如Dorfloo和Mayday。

这个路由器僵尸网络的命令控制服务器（C2）也分布在不同的国家，73%的C2位于中国，21%位于美国，但控制操纵者居住在哪个国家还是未知。

该种型号的路由器生产商Ubiquiti认为，问题出在互联网服务运营商的身上，是他们不安全的分发了设备（比如没有强调在首次使用时需更改默认密码），因为攻击者并没有利用路由器本身的漏洞。

更有趣的问题在于到底是谁在使用这个僵尸网络，Incapsula认为，虽然攻击手法与恶名昭著的黑客组织蜥蜴小队提供的DDoS出租服务蜥蜴压迫者（Lizard Stresser）有着很大的相似之处，但并不是蜥蜴小队。奇怪的是，僵尸网络的活动会在与蜥蜴小队有关的事件中爆发。

近三年来，攻击家用路由器的活动激增。恶意黑客可通过入侵家用路由器实现DNS转向、DDoS攻击和窃听等目的。通常攻击者会利用路由器固件本身的漏洞，但使用默认口令显然是最容易的入侵方法。