Правоохранительные органы закрыли прокси-сервис SocksEscort, использовавший сотни тысяч взломанных роутеров
Международная операция правоохранительных органов привела к закрытию киберпреступного сервиса SocksEscort, который продавал злоумышленникам доступ к сети из сотен тысяч зараженных роутеров и IoT-устройств. Эта инфраструктура использовалась для анонимизации атак, мошенничества и других преступлений.
История прокси-сервиса SocksEscort, как утверждают исследователи, связана с русскоязычным сегментом киберпреступного рынка. По их данным, сервис появился еще в 2009 году как русскоязычная площадка, через которую продавался доступ к тысячам взломанных компьютеров, используемых как прокси-узлы.
Правоохранительные органы США и европейских стран провели операцию против прокси-сервиса SocksEscort, который предоставлял злоумышленникам доступ к IP-адресам взломанных домашних и офисных роутеров по всему миру. В ходе операции были изъяты домены и серверы сети, а зараженные устройства отключены от сервиса.
Источник: Black Lotus Labs.
Расследование показало, что сеть включала более 369 тыс. зараженных роутеров и IoT-устройств в 163 странах. Владельцы устройств обычно даже не подозревали о заражении — их оборудование использовалось как промежуточные узлы, через которые злоумышленники скрывали реальные IP-адреса при проведении атак.
Фактически SocksEscort представлял собой платный сервис анонимизации. Клиенты покупали лицензии на использование зараженных устройств как прокси-узлов, чтобы проводить различные кибероперации — от DDoS-атак до мошенничества и распространения вредоносного контента.
Инфраструктура прокси-сети строилась на базе вредоносной программы AVRecon, которая заражала Linux-устройства на периферии сети — прежде всего маршрутизаторы для дома и небольших офисов. Исследователи отмечают, что ботнет на протяжении нескольких лет включал около 20 тыс. активных зараженных устройств каждую неделю.
Следствие также связывает инфраструктуру SocksEscort с конкретными преступлениями. В частности, через эту сеть была похищена криптовалюта примерно на $1 млн, а также проведены мошеннические операции против компаний и частных лиц на сотни тысяч долларов.
Подобные кампании показывают, насколько уязвимыми остаются домашние и офисные маршрутизаторы. Ранее SecPost публиковал материал о другом ботнете — KadNap, который заражает роутеры ASUS и другие сетевые устройства и использует их как узлы анонимной прокси-сети.
Эксперты рекомендуют регулярно обновлять прошивку маршрутизаторов, менять стандартные пароли администратора и отключать удаленный доступ к панели управления, если он не используется.
Читайте также
