美国家庭网络如何沦为黑客隐身衣？华尔街日报

具有国家背景的网络攻击者正越来越频繁地利用住宅代理网络隐藏网络流量，把普通家庭里的视频盒子、数码相框、手机应用和盗版游戏，变成发动网络攻击的“跳板”。

图片来源：MR. NELSON DESIGN FOR WSJ

微软一通电话揭开秘密

两年多前，微软一位高级安全主管打电话给康卡斯特同行，希望获取6个IP地址的信息。微软当时正在调查一起数字入侵事件，怀疑与全球最强大的网络安全对手之一有关。

顺着这条线索，康卡斯特发现，与俄罗斯对外情报局有关联的黑客组织“午夜暴雪”利用消费者的互联网连接隐藏恶意流量，成功入侵微软高层电子邮件。

这一发现震惊了网络安全界。

后来业界逐渐发现，越来越多低成本消费设备预装了后门软件并进入美国市场，这类软件还被暗中植入移动应用程序和盗版电子游戏中。

住宅代理网络规模巨大

这种服务被称为住宅代理网络。付费后，用户可以把自己的互联网流量导向外部家庭网络，就像互联网接入领域的Airbnb。

并非所有用户都是犯罪分子，但政府和行业官员称，近年来住宅代理网络的规模和风险明显上升。

数字公民联盟估计，仅美国就有约2000万个此类后门。

康卡斯特信息安全主管努普尔·戴维斯。图片来源：COMCAST

康卡斯特信息安全主管努普尔·戴维斯说：

“由于数量庞大，这已成为一个更为严重的问题。”

她表示，这是康卡斯特见过的最令人担忧的问题之一。

国家级黑客把它当跳板

美国联邦调查局网络部门助理主任布雷特·莱瑟曼表示，住宅代理网络如今已成为国家级黑客的首选资源，他们利用这些网络攻击美国目标。

“如果这些黑客能够获得美国的IP空间，他们在针对政府机构、工业界和其他目标时就会占据优势。”

今年4月，美国、英国、德国、日本等九国政府机构发出警告，称具有国家背景的中国黑客正在利用被入侵的消费设备网络开展行动。联合声明称，这“使得恶意活动更难溯源”。

中国服务商IPidea被发现

康卡斯特调查始于2024年2月。当时，戴维斯接到微软同行伊戈尔·齐甘斯基的电话，对方想进一步了解6个康卡斯特IP地址的信息。

康卡斯特调查人员最终发现，这些IP地址所属客户使用了一家名为IPidea的中国服务商运营的住宅代理网络。

报道称，IPidea通过多种隐秘手段把软件装进消费设备，包括预装在视频流媒体机顶盒和数码相框中。随后，该公司把这些设备提供的网络接入能力出租给客户，让他们通过不同家庭网络中转流量。

例如，它可以让身处莫斯科的用户，通过华盛顿州贝灵厄姆的家庭网络上网。这正是“午夜暴雪”等国家背景黑客发动攻击所依赖的能力。

六个IP地址只是冰山一角

随着康卡斯特工程师继续追查，他们发现这6个IP地址只是冰山一角。

背后隐藏的是一个庞大网络，覆盖约75万个家庭和企业IP地址。

康卡斯特工程师早就知道联网设备容易遭受网络攻击，但这次情况不同。它更像是一个以工业级规模潜入美国的后门。

到9月，康卡斯特发现，住宅代理网络用户能够侵入各种网络，甚至突破防火墙，在不同设备之间跳转。

对家庭用户来说，受感染的视频流媒体设备可能被用来入侵个人手机；如果这部手机又接入允许自带设备办公的企业网络，机密信息就可能面临泄露风险。

“与我们以往见过的任何威胁都截然不同。”

谷歌曾瓦解其基础设施

今年1月，谷歌依据美国法院命令瓦解了IPidea的基础设施体系。

但不到两周，该住宅代理网络就恢复运营。

康卡斯特表示，该网络可能从一家新的提供商那里获得了更多住宅代理设备。

黑客用家庭IP偷登录凭据

网络安全公司CrowdStrike高级副总裁亚当·迈耶斯表示，现代黑客越来越多利用这些网络窃取受害者用于云计算服务的登录凭据。

“身份凭据是他们的谋生饭碗，而他们依赖的基础设施之一就是住宅代理。”

网络安全调查公司Volexity称，俄罗斯黑客组织“午夜暴雪”最近开始利用住宅代理网络发动一种极难察觉的身份攻击。

过去一年，俄罗斯黑客通过虚假的Microsoft Teams会议，窃取受害者Microsoft 365凭据。

Volexity总裁史蒂文·阿代尔表示，如果俄罗斯黑客直接从海外登录受害者账户，微软服务器就会报警。因此，他们转而使用住宅代理网络，伪装成从美国本土家庭网络登录。

阿代尔说，Volexity研究人员发现，这种技术已经成功渗透政府、军队、外交机构甚至新闻媒体。

“他们不再试图通过网络钓鱼来获取你的密码。”

“这种新攻击技术极难察觉，也极难拦截。”