Полиция ликвидировала ботнет, продававший взломанные роутеры в качестве прокси-серверов для домашних пользователей.

Правоохранительные органы ликвидировали ботнет, заразивший тысячи роутеров за последние 20 лет для создания двух сетей резиденных прокси, известных как Anyproxy и 5socks. Министерство юстиции США также предъявило обвинения трем гражданам России (Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину) и гражданину Казахстана (Дмитрию Рубцову) за их причастность к эксплуатации, обслуживанию и извлечению прибыли из этих двух незаконных сервисов.

В рамках совместной операции под названием 'Operation Moonlander' правоохранительные органы США сотрудничали с прокурорами и следователями из Национальной полиции Нидерландо, Прокуратуры Нидерлано (Openbaar Ministerie) и Королевской тайской полиции, а также с аналитиками из Black Lotus Labs компании Lumen Technologies. Судебные документы показывают, что теперь ликвидированный ботнет заражал устаревшие беспроводные интернет-роутеры по всему миру вредоносным ПО, начиная с 2004 года, предоставляя несанкционированный доступ к скомпрометированным устройствам для продажи в качестве прокси-серверов на Anyproxy.net и 5socks.net. Эти два домена управлялись компанией, зарегистрированной в Вирджинии, и размещались на сервера по всему миру.

В среду ФБР также опубликовало оперативное предупреждение (PDF) и объявление о государственной службе, предупреждающее, что этот ботнет нацелен на роутеры, для которых закончился срок поддержки (EoL), используя вариант вредоносного ПО TheMoon. ФБР предупредило, что злоумышленники устанавливают прокси, которые впоследствии используются для уклонения от обнаружения во время киберпреступной деятельности по найму, атак, направленных на кражу криптовалюты, и других незаконных операций. К числу устройств, обычно подвергающихся воздействию ботнета, относятся модели роутеров Linksys и Cisco, в том числе:

• Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
• Linksys WRT320N, WRT310N, WRT610N
• Cisco M10 и Cradlepoint E100

"Контроллеры ботнета требуют криптовалюту в качестве оплаты. Пользователям разрешено подключаться к прокси напрямую без аутентификации, что, как показано в предыдущих случаях, может привести к тому, что широкий спектр злоумышленников получит бесплатный доступ", - заявили в Black Lotus Labs. "Учитывая диапазон источников, только около 10% обнаруживаются как вредоносные в популярных инструментах, таких как VirusTotal, что означает, что они последовательно избегают инструментов мониторинга сети с высокой степенью успеха. Такие прокси, как этот, предназначены для сокрытия целого ряда незаконных действий, включая мошенничество с рекламой, DDoS-атаки, перебор паролей или эксплуатацию данных жертв."