美国和加拿大执法机构近日联合行动，逮捕并起诉一名涉嫌运营“KimWolf”分布式拒绝服务（DDoS）僵尸网络的加拿大男子，该网络曾在全球范围内感染近两百万台设备。

据公开的刑事起诉书显示，23岁的加拿大男子雅各布·巴特勒（Jacob Butler），网名“Dort”，于本周三在加拿大渥太华被当地执法部门根据一份美国引渡令逮捕。美国阿拉斯加联邦地区检察官办公室周四解封的刑事诉状称，调查人员通过IP地址及线上账户信息、相关交易记录以及网络通信记录，将巴特勒与“KimWolf”僵尸网络的运营活动联系起来。

检方指控，巴特勒涉嫌帮助并教唆计算机入侵，目前面临一项相关罪名，最高可能被判处10年监禁，他将随后被引渡至美国受审。案卷材料显示，“KimWolf”作为一种“DDoS 代打”付费服务运营，被网络犯罪分子用于发起高强度拒绝服务攻击，其中部分攻击流量一度接近每秒30太比特，是当时已公开披露的最大规模DDoS攻击之一。

调查显示，巴特勒采用“网络犯罪即服务”模式，将其控制的大规模“肉鸡”网络按次或按订阅方式向他人出售，用于发动攻击。这些被控制的设备类型广泛，从数码相框、网络摄像头，到基于Android系统的电视盒子及流媒体播放设备均在其列。

据介绍，“KimWolf”僵尸网络被用于在全球范围内发动超过2.5万次攻击，目标包括各类计算机与服务器，其中还涉及美国国防部信息网络（DoDIN）相关IP地址。部分受害者机构被指因此遭受逾100万美元的经济损失。

网络安全公司 Synthient 一直对“KimWolf”的扩张情况进行跟踪监测，并于今年1月发布报告指出，该僵尸网络在利用住宅代理网络漏洞攻击Android设备后，规模迅速扩张至近200万台受感染设备。研究人员还称，“KimWolf”每周可生成约1200万个独立IP地址，用于隐藏真实攻击来源并增强攻击弹性。

与此同时，美国加州中区联邦法院也解封了多份查封令，针对45个提供DDoS 代打服务的平台实施了域名和基础设施查扣，影响了一批与“KimWolf”存在合作关系的平台。美国司法部表示，执法部门已查封这些服务相关的域名记录，并将访问请求重定向至官方警示页面，以提醒公众DDoS 代打服务属违法行为。

巴特勒的落网，是继今年3月的一次跨国执法行动之后的又一关键进展。在那次行动中，美国、德国和加拿大协同合作，查获并切断了“KimWolf”及相关三个僵尸网络“Aisuru”“JackSkid”“Mossad”的指挥控制基础设施，这四大僵尸网络合计感染物联网设备逾300万台。

司法部当时披露，这些僵尸网络的大量“肉鸡”包括网络摄像头、数字视频录像机以及Wi-Fi路由器等，其中相当一部分位于美国境内。执法机构强调，将继续与国际伙伴合作，锁定并摧毁此类大规模恶意基础设施，同时追究背后操控者的刑事责任。