В результате совместных международных действий правоохранительных органов были закрыты два сервиса, обвиняемые в предоставлении злоумышленникам ботнета из взломанных устройств, подключенных к Интернету, включая маршрутизаторы. Американские прокуроры также предъявили обвинения четырем людям, обвиняемым во взломе этих устройств и управлении ботнетом.
В среду на сайтах Anyproxy и 5Socks появились уведомления о том, что они были захвачены ФБР в рамках правоохранительной операции под названием «Операция Moonlander». В уведомлении говорилось, что правоохранительные действия проводились ФБР, Национальной полицией Нидерландов (Politie), Прокуратурой США по Северному округу Оклахомы и Министерством юстиции США.
Затем в пятницу американские прокуроры объявили о ликвидации ботнета и предъявлении обвинений трем россиянам: Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову, Александру Александровичу Шишкину, а также Дмитрию Рубцову, гражданину Казахстана. Все четверо обвиняются в получении прибыли от запуска Anyproxy и 5Socks под видом легальных прокси-сервисов, которые, по словам прокуроров, были построены на взломанных роутерах.
Чертков, Морозов, Рубцоев и Шишкин, проживающие за пределами США, выбрали старые модели беспроводных интернет-роутеров с известными уязвимостями, скомпрометировав «тысячи» таких устройств, говорится в нераспечатанном обвинительном заключении.
Получив контроль над этими маршрутизаторами, четыре человека продавали доступ к бот-сети на Anyproxy и 5Socks - сервисах, которые действуют с 2004 года, согласно их веб-сайтам и обвинительным заключениям.
Частные прокси-сети сами по себе не являются незаконными; эти предложения часто используются для предоставления клиентам IP-адресов для доступа к контенту, заблокированному по географическому признаку, или для обхода государственной цензуры. Однако Anyproxy и 5Socks якобы построили свою сеть прокси-серверов - некоторые из них состояли из частных IP-адресов - путем заражения тысяч уязвимых устройств, подключенных к Интернету, и превращения их в ботнет, используемый киберпреступниками, согласно заявлению Министерства юстиции.
«Таким образом, интернет-трафик подписчиков ботнета казался исходящим с IP-адресов, присвоенных взломанным устройствам, а не с IP-адресов, присвоенных устройствам, которые подписчики действительно использовали для ведения своей онлайн-активности», - говорится в обвинительном заключении.
«Заговорщики, действующие через 5Socks, публично рекламировали ботнет Anyproxy как прокси-сервис для жилых домов в социальных сетях и на дискуссионных форумах, включая форумы киберпреступников», - добавляется в обвинительном заключении. «Такие прокси-сервисы для жилых домов особенно полезны для криминальных хакеров, чтобы обеспечить анонимность при совершении киберпреступлений; жилые IP-адреса - в отличие от коммерческих - обычно рассматриваются службами интернет-безопасности как гораздо более вероятные для легитимного трафика».
Согласно пресс-релизу Минюста, эти четверо, как предполагается, заработали более 46 миллионов долларов на продаже доступа к бот-сети.
Представитель ФБР не дал комментариев, когда с ним связался TechCrunch. Минюст и Национальная полиция Нидерландов не ответили на просьбы о комментарии.
Райан Инглиш, исследователь из Black Lotus Labs, сообщил TechCrunch перед конфискацией доменов, что эти два сервиса использовались для нескольких видов злоупотреблений, включая распыление паролей, запуск распределенных атак типа «отказ в обслуживании» (DDoS) и рекламное мошенничество.
В пятницу группа исследователей Black Lotus Labs, работающая в компании Lumen, занимающейся вопросами кибербезопасности, опубликовала отчет, в котором говорится, что они помогли властям отследить прокси-сети. Как объясняет Black Lotus в своем отчете, ботнет был «разработан, чтобы обеспечить анонимность для злоумышленников в сети».
Инглиш рассказал TechCrunch, что он и его коллеги уверены, что Anyproxy и 5Socks - это «один и тот же пул прокси, управляемый одними и теми же операторами, просто под разными именами», и что «основную часть ботнета составляли маршрутизаторы, всевозможные отслужившие свой срок марки и модели».
Согласно отчету, составленному на основе данных Lumen о глобальной сети, ботнет имел «в среднем около 1000 еженедельно активных прокси-серверов в более чем 80 странах».
Компания Spur, отслеживающая прокси-сервисы в Интернете, также работала над этой операцией. Соучредитель Spur Райли Килмер сообщил TechCrunch, что, хотя 5Socks - одна из небольших преступных сетей, отслеживаемых компанией, эта сеть «набрала популярность в сфере финансового мошенничества».
Оригинал
Уникальность
