Американські та нідерландські спецслужби розкрили велику ботмережу, що базувалася на роутерах, які вже зняті з виробництва. Сервіси Anyproxy.net і 5socks.net продавали доступ до заражених пристроїв у понад 130 країнах.
Американські та нідерландські спецслужби розкрили велику ботмережу, що базувалася на роутерах, які вже зняті з виробництва. Сервіси Anyproxy.net і 5socks.net продавали доступ до заражених пристроїв у понад 130 країнах.
Управління з кібербезпеки Міністерства юстиції США повідомило про блокування двох платформ — Anyproxy.net і 5socks.net — через які зловмисники здавали в оренду заражені роутери як проксі. Серед фігурантів справи — троє росіян: Олексій Вікторович Чєртков, Кирило Володимирович Морозов, Олександр Олександрович Шишкін, а також громадянин Казахстану Дмитро Рубцов. Чєртков і Рубцов додатково обвинувачуються в неправдивій реєстрації доменів.
Слідство з’ясувало, що підконтрольні обвинуваченим майданчики використовували шкідливе ПЗ для зараження застарілих моделей роутерів. Серед них — Linksys E1200, E2500, WRT320N, E4200, WRT610N та інші. Кожен з таких пристроїв перетворювався на анонімний проксі-сервер. Послуги коштували від $9,95 до $110 на місяць.
На піку активності 5socks.net рекламував понад 7000 проксі по всьому світу. За оцінками ФБР, прибуток від схеми перевищив $46 млн. Платформи працювали щонайменше з 2004 року, про що свідчив рекламний слоган 5socks — «Working since 2004!».
До операції долучилися прокуратура Східного округу Вірджинії, Національна поліція та прокуратура Нідерландів, Королівська поліція Таїланду, а також аналітики компанії Lumen (Black Lotus Labs). ФБР оприлюднило повний список із 13 вразливих моделей, закликавши користувачів перевірити свої мережі та змінити обладнання.
End-of-life (EOL) роутери — це мережеві пристрої, які виробник офіційно зняв з підтримки: вони більше не отримують оновлень прошивки, патчів безпеки та технічної підтримки. Прикладами таких моделей є Linksys E1000, E2500, WRT320N та інші.
Ці пристрої часто залишаються в користуванні вдома чи в малих офісах роками, попри те, що мають відомі вразливості. Через відсутність оновлень і слабкий захист їх легко зламати, зокрема за допомогою експлойтів або брутфорсу до стандартних паролів.
У ботнетах такі роутери використовують як анонімні проксі-сервери або вузли для шкідливої інфраструктури — наприклад, для приховування трафіку, атак DDoS, розсилки спаму чи доступу до заборонених сайтів.
Зловмисники заражають роутери спеціальним шкідливим ПЗ, яке дозволяє їм контролювати пристрій віддалено. Далі доступ до цього інфікованого пристрою часто продається на тіньових платформах — саме так працювали сервіси Anyproxy.net та 5socks.net.
❗ ФБР рекомендує: якщо ви користуєтесь старою моделлю роутера, перевірте, чи вона ще підтримується виробником. Якщо ні — замініть її або вимкніть функцію віддаленого адміністрування, щоб не стати частиною ботнету.
До речі, нещодавно у нашій стрічці виходив матеріал про те, що 20% російських кібератак припадає на Україну. Про це повідомив керівник Управління забезпечення діяльності НКЦК Сергій Прокопенко на Міжнародному форумі з кібербезпеки.
https://upstaff.com/hire/react/