Otoritas penegak hukum telah membongkar botnet yang menginfeksi ribuan router selama 20 tahun terakhir untuk membangun dua jaringan proxy perumahan yang dikenal sebagai apa pun dan 5Socks.
Departemen Kehakiman AS juga mendakwa tiga warga negara Rusia (Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov, dan Aleksandr Aleksandrovich Shishkin) dan Kazakhstani (Dmitriy Rubtsov) untuk keterlibatan mereka dalam operasi, mempertahankan, dan pengumpulan tahun ini.
Selama tindakan bersama ini dijuluki ‘Operasi Moonlander,’ otoritas AS bekerja dengan jaksa penuntut dan penyelidik dari Kepolisian Nasional Belanda, Layanan Penuntutan Publik Belanda (Openbaar Ministerie), dan Polisi Kerajaan Thailand, serta analis dengan Lumen Lotus Labs ‘Lumen Technologies.
Dokumen pengadilan Tunjukkan bahwa botnet yang sekarang terinfeksi router internet nirkabel yang lebih tua di seluruh dunia dengan malware sejak setidaknya tahun 2004, memungkinkan akses tidak sah ke perangkat yang dikompromikan dijual sebagai server proxy di anyproxy.net dan 5socks.net. Dua domain dikelola oleh perusahaan yang berbasis di Virginia dan diselenggarakan di server secara global.
“Pengontrol botnet memerlukan cryptocurrency untuk pembayaran. Pengguna diizinkan untuk terhubung secara langsung dengan proxy tidak menggunakan otentikasi, yang, seperti yang didokumentasikan dalam kasus sebelumnya, dapat menyebabkan spektrum luas aktor jahat yang mendapatkan akses gratis,” Kata Black Lotus Labs.
“Mengingat rentang sumber, hanya sekitar 10% yang terdeteksi sebagai jahat dalam alat -alat populer seperti Virustotal, yang berarti mereka secara konsisten menghindari alat pemantauan jaringan dengan tingkat keberhasilan yang tinggi. Proksi seperti ini dirancang untuk membantu menyembunyikan berbagai pengejaran ilegal termasuk penipuan iklan, serangan DDOS, memaksa Brute, atau mengeksploitasi data korban.”
Pengguna mereka membayar langganan bulanan mulai dari $ 9,95 hingga $ 110 per bulan, tergantung pada layanan yang diminta. “Slogan Situs Web, ‘Bekerja Sejak 2004!,’ Menunjukkan bahwa layanan telah tersedia selama lebih dari 20 tahun,” Departemen Kehakiman kata hari ini.
Keempat terdakwa mengiklankan dua layanan (mempromosikan lebih dari 7.000 proxy) sebagai layanan proxy perumahan di berbagai situs web, termasuk yang digunakan oleh penjahat cyber, dan mereka diduga mengumpulkan lebih dari $ 46 juta dari penjualan langganan yang menyediakan akses ke router yang terinfeksi bagian dari Botnet Anyproxy.
Mereka mengoperasikan situs web anyproxy.net dan 5socks.net menggunakan server yang terdaftar dan di -host di JCS Fedora Communications, penyedia hosting internet Rusia. Mereka juga menggunakan server di Belanda, Türkiye, dan lokasi lain untuk mengelola botnet anyproxy dan dua situs web.
Mereka semua didakwa dengan konspirasi dan kerusakan pada komputer yang dilindungi, sementara Chertkov dan Rubtsov juga dituduh mendaftarkan nama domain secara keliru.
Menargetkan router akhir kehidupan (EOL)
Pada hari Rabu, FBI juga mengeluarkan nasihat flash dan pengumuman layanan publik yang memperingatkan bahwa botnet ini menargetkan router end-of-life end-of-life (EOL) menargetkan dengan varian malware mereka.
FBI memperingatkan bahwa para penyerang memasang proksi yang kemudian digunakan untuk menghindari deteksi selama kegiatan cybercrime-for-sewa, serangan pencurian cryptocurrency, dan operasi ilegal lainnya.
Daftar perangkat yang biasa ditargetkan oleh botnet mencakup model Linksys dan Cisco Router, termasuk:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cisco M10 dan CradlePoint E100
“Baru -baru ini, beberapa router di akhir kehidupan, dengan administrasi jarak jauh dihidupkan, diidentifikasi sebagai dikompromikan oleh varian baru malware mereka. Malware ini memungkinkan aktor cyber untuk memasang proksi pada router korban yang tidak curiga dan melakukan kejahatan dunia maya secara anonim,” kata FBI.
“Layanan proxy perumahan semacam itu sangat berguna bagi peretas kriminal untuk memberikan anonimitas ketika melakukan kejahatan dunia maya; perumahan-yang bertentangan dengan iklan-alamat IP umumnya diasumsikan oleh layanan keamanan internet lebih mungkin menjadi lalu lintas yang sah,” tambah dakwaan saat ini. “Dengan cara ini, konspirator memperoleh keuntungan finansial pribadi dari penjualan akses ke router yang dikompromikan.”
