僵尸网络和后门：免费 VPN 木马

就在几周前，美国司法部（DoJ）领导的一次国际行动摧毁了一个名为 911 S5 的全球性僵尸网络。在长达十年的时间里，这个被司法部称为 “可能是有史以来世界上最大的僵尸网络” 已经渗透到近 **200 个国家的 1900 万个独立 IP 地址。**被入侵设备的访问权限随后被出售给犯罪分子，用于实施网络攻击、盗窃、诈骗，并将非法活动隐藏在毫无戒心的用户的 IP 地址背后。

这个故事的一个关键点是，僵尸网络使用了设计在六个免费虚拟专用网络（VPN）软件中的后门，这些软件除了是正常运行的 VPN 外，还是恶意软件。在逮捕了被指控的僵尸网络管理员之后，联邦调查局（FBI）发布了一则公共服务公告（PSA），警告用户卸载这些 VPN，并扫描他们的系统，检查是否有恶意软件文件打开了他们系统的大门，让犯罪分子有机可乘。

在**《 Nym 快报》**的第一期中，我们将重点关注使用免费 VPN 服务的风险。正如我们将在整个系列中调查的那样，许多免费 VPN 会对用户隐私和安全构成真正的威胁，而且它们几乎总是包含定向广告等侵入性做法。这与用户使用 VPN 的主要原因完全相反：真正的隐私、安全和匿名上网。911 S5 僵尸网络应该给我们敲响警钟，但问题远不止于此。

代理门 2024：价值数十亿美元的木马

僵尸网络是一个由被入侵设备组成的网络，可由一个中心实体远程控制。一旦被入侵，这些设备就会被用来背着操作者进行恶意活动，如 DDoS 攻击、垃圾邮件分发、欺诈或传播儿童色情等剥削性材料。

911 S5 住宅代理网络由全球 150 台服务器提供支持，僵尸管理员通过虚拟市场出售数千万个 IP 地址的访问权。购买者随后利用这些 IP 地址从事各种非法活动，其中最著名的是通过虚假的申请人申请骗取美国政府大流行病援助计划的数十亿美元。

如此大规模的行动最初是如何实现的？根据司法部 2024 年 5 月 10 日的法庭命令，嫌疑人主要通过提供自己的 “在线免费 VPN 软件”，并隐藏 “那些故意下载他们认为是合法 VPN 程序的用户的恶意属性”，从而在用户设备上安装后门访问。恶意软件还通过流媒体软件和 “按安装付费服务” 进行传播，在这种服务中，每当恶意软件捆绑程序成功安装到用户设备上，数字传播者就会获得报酬。

据称，911 S5 市场于 2022 年被调查人员关闭，2023 年以 “Cloudrouter” 的名义重新出现。然而，该恶意软件继续在用户的系统上运行，没有任何进一步的干预，直到联邦调查局的 “隧道鼠行动”（Operation Tunnel Rat）最终关闭了 VPN 域名，并公开了 VPN 程序的名称。

据政府估计，在 2024 年 5 月 24 日被捕时，这名被指控的僵尸管理员仅通过出售 IP 访问权就已获利 9,900 万美元。从美国政府的大流行病和失业援助计划中诈骗了惊人的 59 亿美元。全世界数百万不明真相的人所遭受的损失、痛苦和困惑还未被人知晓。

免费 VPN 后门

据称有六家 VPN 和代理服务机构为 911 S5 僵尸网络中的恶意软件感染提供了后门：

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

我们对它们究竟了解多少？不出所料，少得出奇。起诉书明确指出，这些 VPN 服务是专门为构建僵尸网络而设计的。恶意软件在用户系统后台以无害的.exe操作文件（如 “MaskVPN.exe”）形式保持活跃，用户很可能认为这些文件在保护他们。数以百万计的用户下载了这些 VPN，但这些 VPN 上却没有任何信息，这足以说明免费 VPN 行业是多么不规范、不受监督。

联邦调查局已经查封了上述拥有真实域名的 VPN 服务，包括 PaladinVPN.com、DewVPN.com 和 ShineVPN.com。MaskVPN 的假域名 maskvpns.com 仍在使用，并承诺幸运的用户可以 “安全防泄密[原文如此]，保护您的隐私”。

截至发稿时，许多印有上述服务名称的应用程序仍可从 Google Play、苹果和其他应用程序商店下载，如 ShieldVPN、ShineVPN 和 MaskVPN，其中一些应用程序（如 Shine VPN）在 Google Play 上的下载量高达 50 万次以上。不过，Nym 并未证实这些应用程序是否与法院命令中列出的应用程序一致，还是与其他同名供应商一致。ProxyGate 代理服务器长期以来一直被安全报告公司和论坛标记为恶意活动，但目前似乎仍可以以 ProxyGate VPN 的名义下载，不过尚不清楚该应用程序是否与 911 S5 僵尸网络相对应。

关于这些具体 VPN 服务的运营情况、由哪个平台分发以及多年来到底有多少用户下载了这些服务，我们还需要等待更多细节。但与此同时，我们也应该提出一些关键问题：

• 这些 VPN 的恶意软件功能为何这么多年都未被发现？
• 目前市场上的其他 VPN 免费软件还在从事哪些秘密功能？
• 我们本可以投资于真正的隐私保护工具，但为了每月节省几块钱，我们愿意接受多少侵犯隐私的行为和安全风险？

免费 VPN 风险

据估计，全球有超过五分之一的人在使用 VPN，其中一半使用的是免费版本而不是付费版本。这对全球 6 亿 VPN 用户的隐私意味着什么？

原则上，免费服务并没有错。事实上，有一些可靠的 VPN 服务提供商免费提供保护隐私的 VPN，并将其作为一种公益服务。但是，可供下载的数百种免费 VPN 的主要商业模式并非利他主义：如果没有来自用户订阅的收入，那么他们肯定会通过其他方式赚钱。

正如我们将在 Nym 正在进行的系列报道中看到的那样，这些隐性收入来自许多手段：有针对性的插入式广告、向中间商出售用户数据，甚至允许第三方在用户浏览器上安装 Cookie 以跟踪他们的活动。简而言之，免费 VPN 推销隐私，但却从监控中获利。这种监控的目标不是不法行为，而是我们个人生活的微观细节。

然而，911 S3 僵尸网络背后的免费 VPN 显示了一个更为极端的安全风险：我们的设备和身份被黑社会犯罪分子劫持。当然，这些恶意 VPN 服务只是可供用户下载的数百种免费VPN 中的一小部分，而且它们很可能是市场上最恶劣的行为者。但是，在这一案例中，用户和机构的经济损失高达数十亿美元，其潜在的风险是显而易见的，需要引起我们的重视。

没有免费的午餐

几乎所有的 VPN 都把自己当作保护用户隐私的工具，因为它可以掩盖我们真实的 IP 地址。许多用户可能认为这足以满足他们的需求。但他们可能还没有意识到，他们在网上的个人活动的元数据被大量收集和买卖的程度。当我们的整个浏览历史都能被人工智能算法重建时，IP 地址掩护还有什么用呢？

与这些数据收集和利用行为作斗争并不简单，因此，专为保护个人隐私而设计的先进 VPN 技术需要一定程度的用户投资。毕竟，如果有人提出在你家安装免费的摄像头安全系统，你会毫不犹豫地欢迎技术人员上门吗？

任何软件在免费提供的情况下，都可能存在隐藏成本。这些成本可能很简单，比如速度更慢或 VPN 服务更有限。但通常这些成本并不那么容易接受，比如在你的浏览体验中注入广告，而这些广告是通过对你的所有上网习惯进行算法分析后定制的。更糟糕的是，这些元数据记录经常被出售给觊觎 IP 和电子邮件地址、流量日志和个人行为模式的庞大地下市场。现在，免费 VPN 很有可能早已把你的电脑变成了儿童色情贩子或骗子的僵尸代理。

真正的网络隐私应该是一项基本权利，但现实情况是，这是一场持久战。在全球范围内为每个人赢得这一权利意味着首先要警惕像 911 S5 这样的真实威胁，还要选择适当的工具来保护自己。免费 VPN 并不是这些工具。

关注 Nym dispatches的信息，了解更多有关当前隐私威胁的信息！

Nym Dispatch

本文是 Nym Dispatch 系列的第一篇文章，该系列深入探讨了网络和社交隐私生态系统。敬请收听，从免费 VPN 市场开始，进一步了解网络监控经济的风险和赚钱策略。该系列将涵盖免费 VPN 的日志记录做法；它们故意模糊的同意合同；它们如何、为何以及向谁出售我们的数据；以及它们的侵入性广告做法。