17 млн ботов на 200 серверах: киберполиция Нидерландов ликвидировала масштабный российский ботнет
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fec9f99de1e2a49fe6346825c54c0a18e.jpg)
Крупный ботнет, насчитывавший 17 миллионов устройств, был ликвидирован в Нидерландах на прошлой неделе. Национальный центр кибербезопасности страны (NCSC) объявил о его уничтожении в четверг, заявив, что совместно с местной полицией «принял меры» против 200 серверов, которые выполняли роль инфраструктуры поддержки ботнета.
Следы ведут в Россию
Было отмечено, что неназванный хостинг-провайдер, который обслуживал эти серверы, отключил ботнет от сети из-за его причастности к преступной деятельности. NCSC не сообщил, какой именно ботнет был ликвидирован. Однако издание The Hacker News, ссылаясь на местное новостное агентство NL Times, отметило:
«Речь идет о сервисе Asocks — компании, которая предоставляет услуги резидентных прокси-серверов. На сайте Asocks указано, что компания предоставляет корпоративные, резидентные и мобильные прокси, цены на которые варьируются от $5 до $15».
Последний раз об Asocks было слышно примерно два года назад, когда исследователи обнаружили около двух десятков бесплатных VPN-приложений для Android, которые тайно приобщали устройства пользователей к ботнету. В то время исследователи безопасности из команды Satori Intelligence компании HUMAN заявляли, что Asocks является поставщиком услуг резидентных прокси-серверов с базой в России, который обычно рекламируют киберпреступникам на хакерских форумах.
Продажа украденных аккаунтов
В целом, прокси-сервисы не являются преступными — они имеют законные сценарии использования и различные преимущества для конфиденциальности. Однако киберпреступники часто используют их для маскировки своей деятельности, и если провайдеры не принимают мер, то их также считают преступными.
Dutch Authorities Take Down Botnet of 17 Million Infected Devices
byu/_cybersecurity_ inpwnhub
То, является ли прокси-сервис преступным, также зависит от способа привлечения устройств, поскольку в нелегальных сетях устройства добавляются с помощью вредоносного ПО и без ведома или согласия их владельцев.
«Устройства могут стать частью ботнета, когда они становятся доступными для злоумышленников», — отметили в NCSC. — «Получив доступ, нападающие могут установить вредоносное программное обеспечение, которое позволяет управлять устройством удаленно. Это позволяет устройству стать частью сети, используемой для киберпреступной деятельности».
Поэтому лучший способ защититься от атак ботнетов — поддерживать ваши устройства в обновленном состоянии и защищать их надежным паролем.
Почему резидентные прокси Asocks были настолько опасными
Как объясняет Национальный центр кибербезопасности Нидерландов (NCSC), киберпреступники активно покупали доступ к этой сети для проведения DDoS-атак, массовой рассылки спама, брутфорса (подбора паролей), кражи учетных данных и распространения вредоносного ПО.
«Поскольку система Asocks использовала IP-адреса реальных, ничего не подозревающих граждан, защитным системам и веб-сайтам было крайне трудно обнаружить или заблокировать такой вредоносный трафик», — замечает портал Help Net Security.
Для систем безопасности эти запросы выглядели как действия обычных клиентов или работников компаний, что позволяло хакерам легко обходить географические ограничения и системы защиты дата-центров.
Масштаб и детали ликвидации
Расследование началось после того, как независимый исследователь заметил аномальную активность и передал данные в NCSC. Злоумышленники годами выстраивали эту инфраструктуру, заражая не только компьютеры и смартфоны, но и роутеры и IoT-устройства («умный» дом). Все 200 управляющих серверов физически находились в легальных европейских дата-центрах Нидерландов, что помогало хакерам маскировать преступный трафик под легитимный обмен данными.
Источник: TechRadar
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fc5d6b99115ffd458538d070ac461ee7c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F3771ffe578357db89174d6f1b314b597.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fa3b0fe14d1a623ed6ba521c06ffff874.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F3855d7005229fedf8a96372fc5231842.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F83eb457d5174beead796d49f5a782b9e.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2F7563b78a68fd348becee4ec4dba9f251)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F131%2Ffc280931ad3e863be33cd8ed311f2d51.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F907ae5d42d20b8f67206c4dc7fa3e070.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F29c6b4933c044c62e367103619e8faa0.jpg)