2025年1月20日，DeepSeek發(fā)布了首款人工智能模型DeepSeek-R1，火爆全球，但隨后DeepSeek遭遇了嚴(yán)重的網(wǎng)絡(luò)攻擊，導(dǎo)致運營中斷，新用戶注冊也被延遲。

此次攻擊涉及HailBot和RapperBot僵尸網(wǎng)絡(luò)，引發(fā)了科技行業(yè)對網(wǎng)絡(luò)威脅日益復(fù)雜化的警覺。

DeepSeek的迅速崛起

DeepSeek成立于2023年底，憑借DeepSeek-R1模型迅速在全球范圍內(nèi)受到關(guān)注。該模型的性能與OpenAI的ChatGPT相當(dāng)，但成本不到600萬美元。通過使用相對落后的芯片，DeepSeek將運營成本降低了近50倍。

此外，將AI模型開源的決定，也進一步擴大了DeepSeek的影響力和用戶基礎(chǔ)，發(fā)布后幾天內(nèi)就有數(shù)百萬次應(yīng)用下載。然而，這種快速的崛起也使其成為了網(wǎng)絡(luò)犯罪分子的目標(biāo)。

網(wǎng)絡(luò)攻擊的時間線

對深思的攻擊始于1月初，并在1月底顯著升級。以下是詳細(xì)的時間線：

• 1月27日：DeepSeek宣布由于“規(guī)模龐大的惡意攻擊”暫停新用戶注冊。
• 1月28日：網(wǎng)絡(luò)安全公司W(wǎng)iz.io報告稱，與DeepSeek相關(guān)的ClickHouse數(shù)據(jù)庫被泄露。該數(shù)據(jù)庫包含用戶敏感信息，包括聊天記錄和API密鑰。然而，此次泄露被認(rèn)為與正在進行的攻擊無關(guān)。
• 1月29日：《環(huán)球時報》披露，自1月初以來，DeepSeek一直遭受定期的分布式拒絕服務(wù)（DDoS）攻擊。這些攻擊利用了反射放大技術(shù)，并伴隨著來自美國IP地址的HTTP代理攻擊和暴力破解嘗試。
• 1月30日：XLab的報告揭示，HailBot和RapperBot這兩種Mirai僵尸網(wǎng)絡(luò)變體是最新一波攻擊的幕后黑手。這些僵尸網(wǎng)絡(luò)利用16個命令與控制（C2）服務(wù)器和超過100個C2端口發(fā)動了協(xié)同攻擊。

攻擊背后的僵尸網(wǎng)絡(luò)

根據(jù)ANY.RUN的報告，擾亂DeepSeek運營的兩個僵尸網(wǎng)絡(luò)，是Mirai僵尸網(wǎng)絡(luò)的高級變種。

• HailBot：HailBot專注于DDoS攻擊，并利用華為設(shè)備中的CVE-2017-17215等漏洞。通過入侵大量設(shè)備，HailBot能夠發(fā)動大規(guī)模拒絕服務(wù)攻擊。
• RapperBot：RapperBot通過SSH暴力破解攻擊傳播，其標(biāo)識為“SSH-2.0-HELLOWORLD”。一旦入侵設(shè)備，它會通過替換SSH密鑰并創(chuàng)建名為“suhelper”的超級用戶賬戶來確保持續(xù)訪問。此外，RapperBot還具備通過XMRig門羅幣礦工進行加密貨幣挖掘的能力，能夠在受感染的設(shè)備上挖礦。

帶來的警示和啟發(fā)

對DeepSeek的網(wǎng)絡(luò)攻擊揭示了依賴數(shù)字基礎(chǔ)設(shè)施的公司所面臨的風(fēng)險。隨著像HailBot和RapperBot這樣的僵尸網(wǎng)絡(luò)作為服務(wù)被提供，即使是技術(shù)能力有限的攻擊者也能發(fā)動毀滅性的攻擊。對于像DeepSeek這樣的AI驅(qū)動型企業(yè)來說，此類干擾可能導(dǎo)致服務(wù)中斷、數(shù)據(jù)泄露以及客戶信任的流失。

DeepSeek的遭遇展示了技術(shù)快速進步的潛力與風(fēng)險。創(chuàng)新的人工智能模型顛覆了行業(yè)格局，也吸引了復(fù)雜的網(wǎng)絡(luò)威脅來破壞取得的進步。隨著網(wǎng)絡(luò)安全專家進一步分析這些事件，全球各地的組織必須保持警惕，以應(yīng)對不斷演變的威脅。

參考鏈接：https://cybersecuritynews.com/hail-and-rapper-botnet-is-the-mastermind-behind-the-deepseek-cyberattack/