Wi-Fi раздавал интернет и чуть-чуть преступлений. Каждую секунду. 20 лет
NewsMakerКак хакеры построили прокси-империю на доверии к роутерам Anyproxy и 5socks.
Правоохранительные органы ликвидировали ботнет, который на протяжении двадцати лет заражал тысячи маршрутизаторов по всему миру. С его помощью злоумышленники создали две сети прокси-серверов, работавших через домашние устройства, — Anyproxy и 5socks.
Министерство юстиции США предъявило обвинения четверым фигурантам дела: россиянам Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину, а также гражданину Казахстана Дмитрию Рубцову. По версии следствия, они участвовали в создании, поддержке и монетизации этих нелегальных сервисов.
Операция под кодовым названием "Moonlander" объединила усилия американских властей, прокуратуры и следователей национальной полиции Нидерландов, нидерландской прокуратуры (Openbaar Ministerie), королевской полиции Таиланда, а также аналитиков Black Lotus Labs при компании Lumen Technologies.
Материалы дела показывают, что с 2004 года ботнет заражал устаревшие беспроводные маршрутизаторы вредоносным программным обеспечением. Несанкционированный доступ к скомпрометированным устройствам продавали в качестве прокси-серверов, работающих через домашние устройства, на сайтах Anyproxy.net и 5socks.net. Оба домена находились под управлением компании, зарегистрированной в штате Вирджиния, а серверы располагались в разных странах мира.
"Операторы ботнета принимают оплату только в криптовалюте. Пользователи получают прямой доступ к прокси без аутентификации, что, как показывают предыдущие инциденты, открывает широкие возможности для злоумышленников", — отмечают специалисты Black Lotus Labs.
По их данным, популярные инструменты вроде VirusTotal распознают как вредоносные лишь около 10% IP-адресов из этой сети. Это позволяет прокси постоянно и с высокой степенью эффективности обходить большинство систем сетевого мониторинга. Такие сервисы помогают скрывать различные противоправные действия: мошенничество с рекламой, DDoS-атаки, подбор паролей и кражу пользовательских данных.
Стоимость подписки на сервисы варьировалась от 9,95 до 110 долларов в месяц в зависимости от набора услуг. Слоган сайта — "Работаем с 2004 года!" — подтверждает, что сервис действовал более двух десятилетий, подчеркивают в Минюсте США.
Обвиняемые рекламировали свои услуги на различных площадках, включая ресурсы для киберпреступников, предлагая доступ к более чем 7000 прокси-серверов через домашние IP-адреса. По данным следствия, они заработали свыше 46 миллионов долларов на продаже подписок к зараженным маршрутизаторам в сети Anyproxy.
Для управления сайтами Anyproxy.net и 5socks.net использовались серверы российского хостинг-провайдера JCS Fedora Communications. Инфраструктура ботнета также включала серверы в Нидерландах, Турции и других странах, через которые осуществлялось управление как самим ботнетом, так и обоими сайтами.
Всем фигурантам предъявлены обвинения в сговоре и повреждении защищенных компьютеров. Черткову и Рубцову также вменяют ложную регистрацию доменного имени.
В среду ФБР выпустило экстренное предупреждение и публичное обращение о том, что ботнет атакует маршрутизаторы с истекшей поддержкой (end-of-life, EoL), используя модифицированную версию вредоносной программы TheMoon. Установленные прокси позволяют скрывать следы при проведении заказных кибератак, хищении криптовалюты и других противоправных действиях.
Среди наиболее частых целей ботнета — различные модели маршрутизаторов Linksys и Cisco. В списке уязвимых устройств: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также Linksys WRT320N, WRT310N, WRT610N и маршрутизаторы Cisco M10 и Cradlepoint E100.
"Недавно мы обнаружили, что устаревшие маршрутизаторы с включенным удаленным администрированием заражены новым вариантом вредоносной программы TheMoon. Она позволяет киберпреступникам устанавливать прокси на устройства ничего не подозревающих пользователей и анонимно совершать преступления", — поясняют в ФБР.
Как отмечается в обвинительном заключении, прокси через домашние IP-адреса особенно ценны для хакеров , поскольку системы безопасности в интернете с гораздо большей вероятностью считают такой трафик легитимным по сравнению с трафиком от коммерческих адресов. Используя эту особенность, злоумышленники получали финансовую выгоду, продавая доступ к взломанным маршрутизаторам.
Правоохранительные органы ликвидировали ботнет, который на протяжении двадцати лет заражал тысячи маршрутизаторов по всему миру. С его помощью злоумышленники создали две сети прокси-серверов, работавших через домашние устройства, — Anyproxy и 5socks.
Министерство юстиции США предъявило обвинения четверым фигурантам дела: россиянам Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину, а также гражданину Казахстана Дмитрию Рубцову. По версии следствия, они участвовали в создании, поддержке и монетизации этих нелегальных сервисов.
Операция под кодовым названием "Moonlander" объединила усилия американских властей, прокуратуры и следователей национальной полиции Нидерландов, нидерландской прокуратуры (Openbaar Ministerie), королевской полиции Таиланда, а также аналитиков Black Lotus Labs при компании Lumen Technologies.
Материалы дела показывают, что с 2004 года ботнет заражал устаревшие беспроводные маршрутизаторы вредоносным программным обеспечением. Несанкционированный доступ к скомпрометированным устройствам продавали в качестве прокси-серверов, работающих через домашние устройства, на сайтах Anyproxy.net и 5socks.net. Оба домена находились под управлением компании, зарегистрированной в штате Вирджиния, а серверы располагались в разных странах мира.
"Операторы ботнета принимают оплату только в криптовалюте. Пользователи получают прямой доступ к прокси без аутентификации, что, как показывают предыдущие инциденты, открывает широкие возможности для злоумышленников", — отмечают специалисты Black Lotus Labs.
По их данным, популярные инструменты вроде VirusTotal распознают как вредоносные лишь около 10% IP-адресов из этой сети. Это позволяет прокси постоянно и с высокой степенью эффективности обходить большинство систем сетевого мониторинга. Такие сервисы помогают скрывать различные противоправные действия: мошенничество с рекламой, DDoS-атаки, подбор паролей и кражу пользовательских данных.
Стоимость подписки на сервисы варьировалась от 9,95 до 110 долларов в месяц в зависимости от набора услуг. Слоган сайта — "Работаем с 2004 года!" — подтверждает, что сервис действовал более двух десятилетий, подчеркивают в Минюсте США.
Обвиняемые рекламировали свои услуги на различных площадках, включая ресурсы для киберпреступников, предлагая доступ к более чем 7000 прокси-серверов через домашние IP-адреса. По данным следствия, они заработали свыше 46 миллионов долларов на продаже подписок к зараженным маршрутизаторам в сети Anyproxy.
Для управления сайтами Anyproxy.net и 5socks.net использовались серверы российского хостинг-провайдера JCS Fedora Communications. Инфраструктура ботнета также включала серверы в Нидерландах, Турции и других странах, через которые осуществлялось управление как самим ботнетом, так и обоими сайтами.
Всем фигурантам предъявлены обвинения в сговоре и повреждении защищенных компьютеров. Черткову и Рубцову также вменяют ложную регистрацию доменного имени.
В среду ФБР выпустило экстренное предупреждение и публичное обращение о том, что ботнет атакует маршрутизаторы с истекшей поддержкой (end-of-life, EoL), используя модифицированную версию вредоносной программы TheMoon. Установленные прокси позволяют скрывать следы при проведении заказных кибератак, хищении криптовалюты и других противоправных действиях.
Среди наиболее частых целей ботнета — различные модели маршрутизаторов Linksys и Cisco. В списке уязвимых устройств: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также Linksys WRT320N, WRT310N, WRT610N и маршрутизаторы Cisco M10 и Cradlepoint E100.
"Недавно мы обнаружили, что устаревшие маршрутизаторы с включенным удаленным администрированием заражены новым вариантом вредоносной программы TheMoon. Она позволяет киберпреступникам устанавливать прокси на устройства ничего не подозревающих пользователей и анонимно совершать преступления", — поясняют в ФБР.
Как отмечается в обвинительном заключении, прокси через домашние IP-адреса особенно ценны для хакеров , поскольку системы безопасности в интернете с гораздо большей вероятностью считают такой трафик легитимным по сравнению с трафиком от коммерческих адресов. Используя эту особенность, злоумышленники получали финансовую выгоду, продавая доступ к взломанным маршрутизаторам.