У Нідерландах було ліквідовано один із найбільших ботнетів, до складу якого входило понад 17 мільйонів пристроїв по всьому світу. Національний центр кібербезпеки Нідерландів (NCSC) повідомив, що разом із місцевою поліцією провів масштабну операцію проти 200 серверів, які забезпечували роботу цього ботнету.
Про це розповідає ProIT
Походження та діяльність ботнету
Сліди злочинної інфраструктури ведуть у росію. Сервери, які підтримували роботу мережі, були розміщені у європейських дата-центрах і обслуговувались неназваним хостинг-провайдером, котрий вимкнув їх після виявлення причетності до незаконної діяльності. Хоча офіційна назва ліквідованого ботнету не була розкрита, за інформацією низки джерел, йдеться про сервіс Asocks — компанію, що надавала послуги корпоративних, резидентних та мобільних проксі-серверів із цінами від $5 до $15 на місяць.
“Йдеться про сервіс Asocks — компанію, яка надає послуги резидентних проксі-серверів. На сайті Asocks вказано, що компанія надає корпоративні, резидентні та мобільні проксі, ціни на які варіюються від $5 до $15”.
Близько двох років тому дослідники безпеки виявили, що Asocks використовував десятки безкоштовних VPN-додатків для Android, які потай перетворювали пристрої користувачів на частину ботнету. Компанія діяла з росії й активно пропонувала свої послуги на хакерських форумах, орієнтуючись на кіберзлочинців.
Проксі-сервіси та небезпека для користувачів
Хоча проксі-сервіси можуть використовуватись легально, зловмисники часто застосовують їх для приховування своєї діяльності, особливо якщо провайдери не контролюють способи залучення пристроїв до мережі. У випадку із Asocks більшість пристроїв приєднувалися до ботнету без відома власників, через встановлення шкідливого ПЗ. NCSC наголошує, що шкідливі програми дозволяли кіберзлочинцям віддалено керувати зараженими пристроями та використовувати їх у злочинних цілях.
Для захисту від подібних атак рекомендується регулярно оновлювати програмне забезпечення пристроїв і використовувати складні паролі.
Як працював ботнет Asocks
Мережа Asocks активно використовувалася для організації DDoS-атак, розсилання спаму, підбору паролів (брутфорсу), крадіжки облікових даних та розповсюдження шкідливого програмного забезпечення. Особливу небезпеку створювало те, що система використовувала IP-адреси реальних користувачів, через що шкідливий трафік був майже невідрізним для систем захисту та сайтів від звичайної активності.
“Оскільки система Asocks використовувала IP-адреси реальних, нічого не підозрюючих громадян, захисним системам та вебсайтам було вкрай важко виявити або заблокувати такий шкідливий трафік”, — зауважує портал Help Net Security.
Для хакерів це створювало можливість обходити географічні обмеження та сучасні системи кіберзахисту дата-центрів, що значно ускладнювало боротьбу з атакуючою мережею.
Масштаб операції та ліквідація ботнету
Операція зі знешкодження розпочалася після того, як незалежний дослідник повідомив про аномальну активність у мережі. Протягом кількох років зловмисники поступово будували інфраструктуру, заражаючи не лише комп’ютери й смартфони, а й роутери та пристрої «розумного дому». Всі 200 серверів-операторів знаходилися у легальних європейських дата-центрах, що допомагало маскувати злочинний трафік під звичайний обмін даними.
Цей випадок вкотре демонструє, наскільки важливо стежити за безпекою власних пристроїв і уважно ставитися до встановлення програм, особливо безкоштовних VPN та додатків із ненадійних джерел.