Rețea globală de tip botnet, formată din sute de mii de routere piratate, dezmembrată de autorități internaționale

O amplă coaliție globală de agenții de aplicare a legii a reușit miercuri să dezafecteze o rețea de tip botnet alcătuită din zeci de mii de routere compromise aparținând utilizatorilor casnici și micilor afaceri.

Operațiunea a vizat SocksEscort, un serviciu plătit de tip proxy, construit pe baza unei rețele de routere piratate folosite pentru comiterea mai multor infracțiuni, inclusiv spargerea conturilor bancare și de criptomonede ale victimelor, precum și depunerea de cereri frauduloase pentru indemnizații de șomaj, potrivit unui anunț făcut joi de Departamentul de Justiție (DOJ). Potrivit DOJ, infracțiunile facilitate de SocksEscort au costat populația Statelor Unite milioane de dolari.

În propriul anunț privind această operațiune, Europol a precizat că botnetul SocksEscort ar fi compromis peste 369.000 de routere și dispozitive din sfera Internet of Things, în 163 de țări, și că aceste routere infectate „au fost deconectate de la serviciu”. Agenția de aplicare a legii a subliniat că SocksEscort a fost folosit pentru a facilita atacuri de tip ransomware, atacuri distribuite de tip denial of service (DDoS), precum și distribuirea de material care conține abuz sexual asupra copiilor (CSAM).

„Clienții acestui serviciu criminal plăteau pentru licențe care le permiteau să abuzeze de aceste dispozitive infectate, ascunzându-și adresele IP originale pentru a se angaja în diverse activități ilegale”, a explicat Europol. „După infectarea cu malware, proprietarii modemurilor nu aveau habar că adresele lor IP erau utilizate pentru activități nelegitime.”

Ca parte a operațiunii, conținutul site-ului oficial SocksEscort a fost înlocuit cu un anunț privind sechestrarea domeniului, ceea ce marchează oficial preluarea controlului de către autorități.

Potrivit firmei de securitate cibernetică Black Lotus Labs, care a monitorizat SocksEscort și a colaborat cu organele de aplicare a legii la dezmembrarea rețelei, botnetul era format din aproximativ 280.000 de routere încă de anul trecut, fiind alimentat de un malware numit AVRecon.

„Acest botnet reprezenta o amenințare semnificativă, deoarece era comercializat exclusiv în rândul infractorilor,” a explicat compania în analiza sa privind dezactivarea infrastructurii. „În mod deosebit, peste jumătate dintre victime se aflau în Statele Unite sau în Regatul Unit, fapt care le permitea atacatorilor să desfășoare operațiuni extrem de țintite.”

În 2023, Black Lotus Labs a descris SocksEscort drept „unul dintre cele mai mari botneturi care vizează routere de tip small-office/home-office (SOHO) observate în istoria recentă”.

La acel moment, jurnalistul de securitate cibernetică Brian Krebs relata că SocksEscort a apărut încă din 2009, ca un serviciu în limba rusă care vindea acces la mii de calculatoare compromise, iar evoluția sa ulterioară l-a transformat într-o infrastructură masivă construită pe routere și dispozitive conectate la internet.