2025年1月20日，DeepSeek發(fā)布了首款人工智能模型DeepSeek-R1，火爆全球，但隨后DeepSeek遭遇了嚴重的網(wǎng)絡攻擊，導致運營中斷，新用戶注冊也被延遲。

此次攻擊涉及HailBot和RapperBot僵尸網(wǎng)絡，引發(fā)了科技行業(yè)對網(wǎng)絡威脅日益復雜化的警覺。

DeepSeek的迅速崛起

DeepSeek成立于2023年底，憑借DeepSeek-R1模型迅速在全球范圍內(nèi)受到關注。該模型的性能與OpenAI的ChatGPT相當，但成本不到600萬美元。通過使用相對落后的芯片，DeepSeek將運營成本降低了近50倍。

此外，將AI模型開源的決定，也進一步擴大了DeepSeek的影響力和用戶基礎，發(fā)布后幾天內(nèi)就有數(shù)百萬次應用下載。然而，這種快速的崛起也使其成為了網(wǎng)絡犯罪分子的目標。

網(wǎng)絡攻擊的時間線

對深思的攻擊始于1月初，并在1月底顯著升級。以下是詳細的時間線：

• 1月27日：DeepSeek宣布由于“規(guī)模龐大的惡意攻擊”暫停新用戶注冊。
• 1月28日：網(wǎng)絡安全公司W(wǎng)iz.io報告稱，與DeepSeek相關的ClickHouse數(shù)據(jù)庫被泄露。該數(shù)據(jù)庫包含用戶敏感信息，包括聊天記錄和API密鑰。然而，此次泄露被認為與正在進行的攻擊無關。
• 1月29日：《環(huán)球時報》披露，自1月初以來，DeepSeek一直遭受定期的分布式拒絕服務（DDoS）攻擊。這些攻擊利用了反射放大技術，并伴隨著來自美國IP地址的HTTP代理攻擊和暴力破解嘗試。
• 1月30日：XLab的報告揭示，HailBot和RapperBot這兩種Mirai僵尸網(wǎng)絡變體是最新一波攻擊的幕后黑手。這些僵尸網(wǎng)絡利用16個命令與控制（C2）服務器和超過100個C2端口發(fā)動了協(xié)同攻擊。

攻擊背后的僵尸網(wǎng)絡

根據(jù)ANY.RUN的報告，擾亂DeepSeek運營的兩個僵尸網(wǎng)絡，是Mirai僵尸網(wǎng)絡的高級變種。

• HailBot：HailBot專注于DDoS攻擊，并利用華為設備中的CVE-2017-17215等漏洞。通過入侵大量設備，HailBot能夠發(fā)動大規(guī)模拒絕服務攻擊。
• RapperBot：RapperBot通過SSH暴力破解攻擊傳播，其標識為“SSH-2.0-HELLOWORLD”。一旦入侵設備，它會通過替換SSH密鑰并創(chuàng)建名為“suhelper”的超級用戶賬戶來確保持續(xù)訪問。此外，RapperBot還具備通過XMRig門羅幣礦工進行加密貨幣挖掘的能力，能夠在受感染的設備上挖礦。

帶來的警示和啟發(fā)

對DeepSeek的網(wǎng)絡攻擊揭示了依賴數(shù)字基礎設施的公司所面臨的風險。隨著像HailBot和RapperBot這樣的僵尸網(wǎng)絡作為服務被提供，即使是技術能力有限的攻擊者也能發(fā)動毀滅性的攻擊。對于像DeepSeek這樣的AI驅動型企業(yè)來說，此類干擾可能導致服務中斷、數(shù)據(jù)泄露以及客戶信任的流失。

DeepSeek的遭遇展示了技術快速進步的潛力與風險。創(chuàng)新的人工智能模型顛覆了行業(yè)格局，也吸引了復雜的網(wǎng)絡威脅來破壞取得的進步。隨著網(wǎng)絡安全專家進一步分析這些事件，全球各地的組織必須保持警惕，以應對不斷演變的威脅。

參考鏈接：https://cybersecuritynews.com/hail-and-rapper-botnet-is-the-mastermind-behind-the-deepseek-cyberattack/