Совместная международная правоохранительная акция привела к закрытию двух сервисов, которые предоставляли ботнет взломанных устройств, включая маршрутизаторы, для киберпреступников. Прокуроры США также предъявили обвинения четырем лицам, которые, как считается, взломали эти устройства и управляли ботнетом.
Об этом сообщает ProIT
В среду вебсайты Anyproxy и 5Socks были заменены сообщениями о том, что их захватило ФБР в рамках операции, получившей название «Операция Мунландер». В сообщении говорилось о том, что правоохранительная акция была осуществлена ФБР, Национальной полицией Нидерландов, Офисом прокурора США для Северного округа Оклахомы и Министерством юстиции США.
Детали операции и задержания
В пятницу прокуроры США объявили о ликвидации ботнета и выдвинули обвинения трем россиянам: Алексею Викторовичу Чертову, Кириллу Владимировичу Морозову, Александру Александровичу Шишкину и Дмитрию Рубцову, гражданину Казахстана. Эти лица обвиняются в получении прибыли от управления Anyproxy и 5Socks под видом предоставления легитимных прокси-сервисов, которые, по словам прокуроров, базировались на взломанных маршрутизаторах.
Чертов, Морозов, Рубцов и Шишкин, которые все находятся за пределами Соединенных Штатов, нацелились на старые модели беспроводных маршрутизаторов с известными уязвимостями, взломав «тысячи» таких устройств, согласно ныне открытым обвинениям.
Как работал ботнет
Контролируя эти маршрутизаторы, четверо лиц продавали доступ к ботнету через Anyproxy и 5Socks, сервисы, которые функционировали с 2004 года, согласно их вебсайтам и обвинениям.
Резидентные прокси-сети не являются незаконными сами по себе; эти предложения часто используются для предоставления клиентам IP-адресов для доступа к геоблокированному контенту или обхода правительственной цензуры. Однако Anyproxy и 5Socks, как утверждается, строили свои сети прокси — часть из которых состояла из резидентных IP-адресов — путем заражения тысяч уязвимых интернет-устройств, фактически превращая их в ботнет, который использовался киберпреступниками.
“Таким образом, интернет-трафик подписчиков ботнета выглядел так, будто он исходил из IP-адресов, назначенных взломанным устройствам, а не из IP-адресов, назначенных устройствам, которые подписчики фактически использовали для проведения своей онлайн-активности,” говорится в обвинении.
По информации Министерства юстиции, четверо подозреваемых, вероятно, заработали более 46 миллионов долларов на продаже доступа к ботнету.
ФБР, Министерство юстиции и Национальная полиция Нидерландов не ответили на запросы о комментариях.
Раян Инглиш, исследователь из Black Lotus Labs, рассказал, что эти два сервиса использовались для нескольких видов злоупотреблений, включая распределенные атаки отказа в обслуживании (DDoS) и мошенничество с рекламными объявлениями.
В пятницу Black Lotus Labs, команда исследователей, работающая в рамках компании по кибербезопасности Lumen, опубликовала отчет, в котором говорится, что они помогли властям отследить сети прокси. По словам Black Lotus, ботнет был “спроектирован для обеспечения анонимности для злоумышленников в интернете.”
Инглиш отметил, что он и его коллеги уверены, что Anyproxy и 5Socks являются “одной и той же группой прокси, управляемой теми же операторами, просто под другим названием,” и что “большинство ботнета составляли маршрутизаторы всех видов с истекшим сроком эксплуатации.”
Согласно отчету и на основе глобальной видимости сети Lumen, ботнет имел “в среднем около 1000 активных прокси каждую неделю в более чем 80 странах.”
Компания Spur, которая отслеживает прокси-сервисы в интернете, также принимала участие в операции. Соучредитель Spur Райли Килмер сообщил, что хотя 5Socks является одной из меньших криминальных сетей, которую отслеживает компания, сеть, тем не менее, “набрала популярность для финансового мошенничества.”