Οι αρχές επιβολής του νόμου έχουν αποσυναρμολογήσει ένα botnet που μολύνθηκε χιλιάδες δρομολογητές τα τελευταία 20 χρόνια για να χτίσουν δύο δίκτυα κατοικιών πληρεξούσιων γνωστών ως Anyproxy και 5socks.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ κατηγορούσε επίσης τρεις Ρώσους υπηκόους (Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov και Aleksandr Aleksandrovich Shishkin) και ένα Kazakhstani (Dmitriy Rubtsov) για την ανάληψη, τη διατήρηση και την επίκληση αυτών των δύο παράνομων υπηρεσιών.
Κατά τη διάρκεια αυτής της κοινής δράσης που ονομάστηκε «επιχείρηση Moonlander», οι αμερικανικές αρχές συνεργάστηκαν με εισαγγελείς και ερευνητές από την Ολλανδική Εθνική Αστυνομία, την Υπηρεσία Εισαγγελίας της Ολλανδίας (υπουργός OpenBaar) και την αστυνομία της Βασιλικής Ταϊλάνδης, καθώς και με τους αναλυτές με Lumen Technologies ‘Black Lotus Labs.
Δικαστικά έγγραφα Δείξτε ότι οι τώρα υποβαθμισμένοι BotNet μολύνθηκαν παλαιότεροι ασύρματοι δρομολογητές διαδικτύου παγκοσμίως με κακόβουλο λογισμικό από τουλάχιστον το 2004, επιτρέποντας την μη εξουσιοδοτημένη πρόσβαση σε συμβιβασμένες συσκευές να πωλούνται ως διακομιστές μεσολάβησης σε anyproxy.net και 5socks.net. Οι δύο τομείς διαχειρίζονται μια εταιρεία με έδρα τη Βιρτζίνια και φιλοξένησαν σε διακομιστές παγκοσμίως.
Οι χρήστες τους πλήρωσαν μια μηνιαία συνδρομή που κυμαίνεται από $ 9.95 έως $ 110 το μήνα, ανάλογα με τις ζητούμενες υπηρεσίες. “Το σύνθημα του ιστότοπου,” Εργασία από το 2004! “, Δείχνει ότι η υπηρεσία είναι διαθέσιμη για περισσότερα από 20 χρόνια”, το Υπουργείο Δικαιοσύνης είπε σήμερα.
Οι τέσσερις κατηγορούμενοι διαφημίζουν τις δύο υπηρεσίες (προωθώντας πάνω από 7.000 πληρεξούσιους) ως οικιακές υπηρεσίες πληρεξουσίου σε διάφορους ιστότοπους, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται από τους εγκληματίες στον κυβερνοχώρο, και φέρεται ότι συγκέντρωσαν πάνω από 46 εκατομμύρια δολάρια από την πώληση συνδρομών που παρέχουν πρόσβαση στους μολυσμένους δρομολογητές του οποιουδήποτε Botnet.
Λειτουργούσαν τους ιστότοπους anyproxy.net και 5socks.NET χρησιμοποιώντας διακομιστές που έχουν εγγραφεί και φιλοξενούνται στο JCS Fedora Communications, έναν ρώσικο πάροχο φιλοξενίας Διαδικτύου. Χρησιμοποίησαν επίσης διακομιστές στις Κάτω Χώρες, το Türkiye και άλλες τοποθεσίες για να διαχειριστούν το Botnet Anyproxy και τους δύο ιστότοπους.
Οι τέσσερις κατηγορούμενοι κατηγορήθηκαν για συνωμοσία και ζημιά σε προστατευμένους υπολογιστές, ενώ ο Chertkov και ο Rubtsov κατηγορήθηκαν επίσης για ψευδώς καταχώρηση ενός ονόματος τομέα.
Στόχευση δρομολογητών στο τέλος της ζωής (EOL)
Την Τετάρτη, το FBI εξέδωσε επίσης μια συμβουλευτική φλας και μια ανακοίνωση δημόσιας υπηρεσίας προειδοποιώντας ότι αυτό το botnet στοχεύει δρομολογητές στο τέλος της ζωής (EOL) με μια παραλλαγή του κακόβουλου λογισμικού.
Το FBI προειδοποίησε ότι οι επιτιθέμενοι εγκαθιστούν πληρεξούσιους που χρησιμοποιούνται αργότερα για να αποφύγουν την ανίχνευση κατά τη διάρκεια των δραστηριοτήτων του εγκλήματος για το έγκλημα του κυβερνοχώρου, στις επιθέσεις κλοπής κρυπτογράφησης και σε άλλες παράνομες επιχειρήσεις.
Ο κατάλογος των συσκευών που συνήθως στοχεύονται από το botnet περιλαμβάνει μοντέλα Linksys και Cisco Router, συμπεριλαμβανομένων:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cisco M10 και Cradlepoint E100
“Πρόσφατα, ορισμένοι δρομολογητές στο τέλος της ζωής, με ενεργοποιημένη απομακρυσμένη διοίκηση, αναγνωρίστηκαν ως συμβιβασμένα από μια νέα παραλλαγή του Malware Malware. Αυτό το κακόβουλο λογισμικό επιτρέπει στους κυβερνοχώρους να εγκαθιστούν πληρεξούσια σε ανυποψίαστους δρομολογητές θύματος και να διεξάγουν ανώνυμα εγκλήματα στον κυβερνοχώρο”, δήλωσε ο FBI.
“Αυτές οι υπηρεσίες κατοικιών πληρεξουσίων είναι ιδιαίτερα χρήσιμες για τους εγκληματίες χάκερ για την παροχή ανωνυμίας όταν διαπράττουν εγκλήματα στον κυβερνοχώρο · οι κατοικίες-σε αντίθεση με τις εμπορικές διευθύνσεις IP θεωρούνται γενικά από τις υπηρεσίες ασφάλειας στο Διαδίκτυο, όσο πιο πιθανό να είναι νόμιμη κυκλοφορία”, προστέθηκε το σημερινό κατηγορητήριο. “Με αυτόν τον τρόπο, οι συνωμότες έλαβαν ιδιωτικό οικονομικό όφελος από την πώληση πρόσβασης στους συμβιβασμένους δρομολογητές”.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
