微软上周披露,法务部调查局去年8月接获微软台湾数字犯罪防治中心(Digital Crimes Unit,DCU)通报,发现了一个涉及40万设备的僵尸网络。调查局循着VPN IP查出攻击所在的乡下建筑,意外的是,黑客用来传播恶意程序的,竟然是一个不起眼的LED灯控制设备。
根据微软的说明,台湾DCU团队一名眼尖的分析师,在监控屏幕上发现了不寻常的信号,相关信号在一个月内增加了100倍,仔细研究后显示它涉及40万个公开的IP地址,再缩小范围到90个可疑IP,针对这90个IP再进行资料搜索之后,找到了一个连接数十种攻击活动的IP,发现该IP在一周内传送高达1TB的恶意内容,涵盖恶意程序、网络钓鱼邮件、勒索软件,以及分布式拒绝服务攻击等。
该团队随后即向调查局报告,调查局借由DCU所提供的情报,关注了该非法的VPN IP,找到藏匿在VPN之后的账号,发现恶意行动是源自于北台湾农村的一个办公大楼。
令人称奇的是,一般而言,黑客都是利用被黑的PC来执行网络攻击,但这次的主角却是一个LED灯光控制设备,调查局很快就将它关闭,以防止它再传送恶意程序。
在这次行动后,调查局也和微软DCU台湾团队,定期讨论网络威胁的趋势与情报。
微软与全球的政府组织都有类似的合作,今年3月微软还曾协同35国的警方,破获全球最大恶意邮件网络之一的Necurs。此外,从2010年迄今,DCU团队总计破获了全球22个僵尸网络,合作的对象除了各国警方之外,也包括ISP及域名名称注册商。