百万台光猫被黑??设备商的锅还是运营商的锅?

endward

来源360安全团队  一个藏在我们身边的巨型僵尸网络 Pink
要点:

• Pinkbot 是我们六年以来观测到最大的僵尸网络，其攻击目标主要是 mips 光猫设备，在 360Netlab 的独立测量中，总感染量超过 160 万，其中 96% 位于中国。
• 在我们全网探测的测量数据中，受感染的 IP 主要集中在中国 (96%)，遍及全国 33 个省。受影响的运营商主要涉及中国联通（>80%）和中国电信（>15%）。
• 设备厂商与攻击者多轮的攻防对抗中，双方的信息和能力是不对等的，厂商修复了一部分设备得到了局部胜利，但攻击者仍然保住了大部分胜利果实获取了全局胜利。
• 另一方面，将物联网设备供应商与成熟的系统供应商在安全能力方面对比（例如Windows、安卓或者MacOS），后者拥有成熟的多的安全人员建制和丰富的多的安全对抗经验。再考虑到物联网设备数量众多，多得多的数量加上少的多的防御，更多的攻击转向物联网设备是老道攻击者的自然选择。
  

当前规模

• 我们一直阶段性的对公网上的 Pink 节点进行持续监测，通过对 2021/10/20日的日志分析，我们仍然可以看到 103024 个 IP 处于日活状态。这表明，当前的 pink 的感染规模仍然在 10w 量级左右，涉及多家设备厂商，按照每个IP对应一个三口之家来计算，受影响人群大概 30w 人左右。按照每个光猫 100 元的更换成本计算，当前仍有上千万损失等待弥补。