В Нидерландах был ликвидирован один из крупнейших ботнетов, в состав которого входило более 17 миллионов устройств по всему миру. Национальный центр кибербезопасности Нидерландов (NCSC) сообщил, что вместе с местной полицией провел масштабную операцию против 200 серверов, которые обеспечивали работу этого ботнета.
Об этом сообщает ProIT
Происхождение и деятельность ботнета
Следы преступной инфраструктуры ведут в Россию. Серверы, которые поддерживали работу сети, были размещены в европейских дата-центрах и обслуживались неназванным хостинг-провайдером, который отключил их после обнаружения причастности к незаконной деятельности. Хотя официальное название ликвидированного ботнета не было раскрыто, по информации ряда источников, речь идет о сервисе Asocks — компании, которая предоставляла услуги корпоративных, резидентных и мобильных прокси-серверов с ценами от $5 до $15 в месяц.
“Речь идет о сервисе Asocks — компании, которая предоставляет услуги резидентных прокси-серверов. На сайте Asocks указано, что компания предоставляет корпоративные, резидентные и мобильные прокси, цены на которые варьируются от $5 до $15”.
Около двух лет назад исследователи безопасности обнаружили, что Asocks использовал десятки бесплатных VPN-приложений для Android, которые тайно превращали устройства пользователей в часть ботнета. Компания действовала из России и активно предлагала свои услуги на хакерских форумах, ориентируясь на киберпреступников.
Прокси-сервисы и опасность для пользователей
Хотя прокси-сервисы могут использоваться легально, злоумышленники часто применяют их для сокрытия своей деятельности, особенно если провайдеры не контролируют способы привлечения устройств в сеть. В случае с Asocks большинство устройств подключались к ботнету без ведома владельцев, через установку вредоносного ПО. NCSC подчеркивает, что вредоносные программы позволяли киберпреступникам удаленно управлять зараженными устройствами и использовать их в преступных целях.
Для защиты от подобных атак рекомендуется регулярно обновлять программное обеспечение устройств и использовать сложные пароли.
Как работал ботнет Asocks
Сеть Asocks активно использовалась для организации DDoS-атак, рассылки спама, подбора паролей (брутфорса), кражи учетных данных и распространения вредоносного программного обеспечения. Особую опасность создавало то, что система использовала IP-адреса реальных пользователей, из-за чего вредоносный трафик был почти неотличим для систем защиты и сайтов от обычной активности.
“Поскольку система Asocks использовала IP-адреса реальных, ничего не подозревающих граждан, защитным системам и вебсайтам было крайне сложно обнаружить или заблокировать такой вредоносный трафик”, — отмечает портал Help Net Security.
Для хакеров это создавало возможность обходить географические ограничения и современные системы киберзащиты дата-центров, что значительно усложняло борьбу с атакующей сетью.
Масштаб операции и ликвидация ботнета
Операция по нейтрализации началась после того, как независимый исследователь сообщил о аномальной активности в сети. В течение нескольких лет злоумышленники постепенно строили инфраструктуру, заражая не только компьютеры и смартфоны, но и роутеры и устройства «умного дома». Все 200 серверов-операторов находились в легальных европейских дата-центрах, что помогало маскировать преступный трафик под обычный обмен данными.
Этот случай в очередной раз демонстрирует, насколько важно следить за безопасностью собственных устройств и внимательно относиться к установке программ, особенно бесплатных VPN и приложений из ненадежных источников.