2025年1月20日，DeepSeek發布了首款人工智能模型DeepSeek-R1，火爆全球，但隨后DeepSeek遭遇了嚴重的網絡攻擊，導致運營中斷，新用戶注冊也被延遲。

此次攻擊涉及HailBot和RapperBot僵尸網絡，引發了科技行業對網絡威脅日益復雜化的警覺。

DeepSeek的迅速崛起

DeepSeek成立于2023年底，憑借DeepSeek-R1模型迅速在全球范圍內受到關注。該模型的性能與OpenAI的ChatGPT相當，但成本不到600萬美元。通過使用相對落后的芯片，DeepSeek將運營成本降低了近50倍。

此外，將AI模型開源的決定，也進一步擴大了DeepSeek的影響力和用戶基礎，發布后幾天內就有數百萬次應用下載。然而，這種快速的崛起也使其成為了網絡犯罪分子的目標。

網絡攻擊的時間線

對深思的攻擊始于1月初，并在1月底顯著升級。以下是詳細的時間線：

• 1月27日：DeepSeek宣布由于“規模龐大的惡意攻擊”暫停新用戶注冊。
• 1月28日：網絡安全公司Wiz.io報告稱，與DeepSeek相關的ClickHouse數據庫被泄露。該數據庫包含用戶敏感信息，包括聊天記錄和API密鑰。然而，此次泄露被認為與正在進行的攻擊無關。
• 1月29日：《環球時報》披露，自1月初以來，DeepSeek一直遭受定期的分布式拒絕服務（DDoS）攻擊。這些攻擊利用了反射放大技術，并伴隨著來自美國IP地址的HTTP代理攻擊和暴力破解嘗試。
• 1月30日：XLab的報告揭示，HailBot和RapperBot這兩種Mirai僵尸網絡變體是最新一波攻擊的幕后黑手。這些僵尸網絡利用16個命令與控制（C2）服務器和超過100個C2端口發動了協同攻擊。

攻擊背后的僵尸網絡

根據ANY.RUN的報告，擾亂DeepSeek運營的兩個僵尸網絡，是Mirai僵尸網絡的高級變種。

• HailBot：HailBot專注于DDoS攻擊，并利用華為設備中的CVE-2017-17215等漏洞。通過入侵大量設備，HailBot能夠發動大規模拒絕服務攻擊。
• RapperBot：RapperBot通過SSH暴力破解攻擊傳播，其標識為“SSH-2.0-HELLOWORLD”。一旦入侵設備，它會通過替換SSH密鑰并創建名為“suhelper”的超級用戶賬戶來確保持續訪問。此外，RapperBot還具備通過XMRig門羅幣礦工進行加密貨幣挖掘的能力，能夠在受感染的設備上挖礦。

帶來的警示和啟發

對DeepSeek的網絡攻擊揭示了依賴數字基礎設施的公司所面臨的風險。隨著像HailBot和RapperBot這樣的僵尸網絡作為服務被提供，即使是技術能力有限的攻擊者也能發動毀滅性的攻擊。對于像DeepSeek這樣的AI驅動型企業來說，此類干擾可能導致服務中斷、數據泄露以及客戶信任的流失。

DeepSeek的遭遇展示了技術快速進步的潛力與風險。創新的人工智能模型顛覆了行業格局，也吸引了復雜的網絡威脅來破壞取得的進步。隨著網絡安全專家進一步分析這些事件，全球各地的組織必須保持警惕，以應對不斷演變的威脅。

參考鏈接：https://cybersecuritynews.com/hail-and-rapper-botnet-is-the-mastermind-behind-the-deepseek-cyberattack/