ФБР та голландська поліція вилучили та заблокували ботнет зламаних маршрутизаторів

Спільна міжнародна правоохоронна операція закрила два сервіси, звинувачених у наданні кіберзлочинцям ботнету зламаних пристроїв, підключених до Інтернету, включаючи маршрутизатори. Прокурори США також висунули звинувачення чотирьом особам, яких обвинувачують у зломі пристроїв та управлінні ботнетом. 

Вебсайти Anyproxy та 5Socks були замінені повідомленнями про те, що їх було вилучено ФБР в рамках правоохоронної операції під назвою «Операція «Місячний мандрівник». У повідомленні йдеться, що правоохоронні дії проводилися ФБР, Національною поліцією Нідерландів (Politie), Офісом прокурора США Північного округу Оклахоми та Міністерством юстиції США. 

Прокурори США оголосили про ліквідацію ботнету та висунення звинувачень трьом росіянам: Олексію Вікторовичу Черткову, Кирилу Володимировичу Морозову, Олександру Олександровичу Шишкіну та Дмитру Рубцову, громадянину Казахстану. Чотирьох звинувачують у отриманні прибутку від запуску Anyproxy та 5Socks під приводом надання легальних проксі-сервісів, які, за словами прокурорів, були побудовані на зламаних маршрутизаторах.

Згідно з розкритим обвинувальним актом, Чортков, Морозов, Рубцов та Шишкін, які проживають за межами Сполучених Штатів, атакували старі моделі бездротових інтернет-маршрутизаторів, які мали відомі вразливості, поставивши під загрозу «тисячі» таких пристроїв . 

Контролюючи ці маршрутизатори, четверо осіб потім продавали доступ до ботнету на Anyproxy та 5Socks, сервісах, які, згідно з їхніми вебсайтами та органами, що стягують плату, працювали з 2004 року. 

Самі по собі мережі проксі-серверів для мешканців не є незаконними; ці пропозиції часто використовуються для надання клієнтам IP-адрес для доступу до геоблокованого контенту або обходу державної цензури . Однак, за даними Міністерства юстиції, Anyproxy та 5Socks нібито створили свою мережу проксі-серверів — деякі з них складалися з IP-адрес мешканців — шляхом зараження тисяч вразливих пристроїв, підключених до Інтернету, та фактичного перетворення їх на ботнет, який використовують кіберзлочинці.

«Таким чином, інтернет-трафік передплатників ботнету, ймовірно, надходив з IP-адрес, призначених скомпрометованим пристроям, а не з IP-адрес, призначених пристроям, які передплатники фактично використовували для здійснення своєї онлайн-активності», – йдеться в обвинувальному висновку. 

«Змовники, що діяли через 5Socks, публічно рекламували ботнет Anyproxy як сервіс проксі-сервісу для резидентів у соціальних мережах та на онлайн-форумах, включаючи форуми кіберзлочинців», – додається в обвинувальному висновку. «Такі сервіси проксі-сервісів для резидентів особливо корисні для хакерів-злочинців для забезпечення анонімності під час скоєння кіберзлочинів; служби інтернет-безпеки зазвичай вважають, що IP-адреси резидентів, на відміну від комерційних, набагато частіше є легітимним трафіком».

Згідно з прес-релізом Міністерства юстиції, вважається, що ці четверо заробили понад 46 мільйонів доларів на продажу доступу до ботнету.

Речник ФБР не прокоментував ситуацію, коли TechCrunch зв’язався з цим питанням. Міністерство юстиції та Національна поліція Нідерландів не відповіли на запити про коментарі. 

Раян Інгліш, дослідник Black Lotus Labs, перед вилученням доменів розповів TechCrunch, що ці два сервіси використовувалися для кількох видів зловживань, включаючи розпилення паролів, запуск розподілених атак типу «відмова в обслуговуванні» ( DDoS ) та шахрайство з рекламою. 

У п'ятницю Black Lotus Labs, команда дослідників з фірми кібербезпеки Lumen, опублікувала звіт , у якому йдеться про те, що вони допомогли владі відстежувати проксі-мережі. Як пояснила Black Lotus у своєму звіті, ботнет був «розроблений для забезпечення анонімності зловмисників в Інтернеті».

Інгліш розповів TechCrunch, що він та його колеги впевнені, що Anyproxy та 5Socks – це «той самий пул проксі-серверів, якими керують ті самі оператори, просто під іншою назвою», і що «основну частину ботнету становили маршрутизатори, всілякі марки та моделі, термін служби яких закінчився».

Згідно зі звітом та на основі глобальної видимості Lumen у мережі, ботнет мав «в середньому близько 1000 активних проксі-серверів щотижня у понад 80 країнах».

Spur, компанія, яка відстежує проксі-сервіси в інтернеті, також працювала над цією операцією. Співзасновник Spur Райлі Кілмер розповів TechCrunch, що хоча 5Socks є однією з менших злочинних мереж, які відстежує компанія, мережа «набула популярності завдяки фінансовому шахрайству».