Un’operazione congiunta delle forze dell’ordine intrapresa da autorità olandesi e statunitensi ha smantellato una rete di proxy penale che è alimentata da migliaia di dispositivi Web of Issues infetti (IoT) e di positive vita (EOL), arruolandoli in una botnet per aver fornito anonimato agli attori dannosi.
In concomitanza con il sequestro di dominio, i cittadini russi, Alexey Viktorovich Chertkov, 37 anni, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36 anni e Dmitriy Rubtsov, 38, un cittadino Kazakhstani, sono stati carico dal Dipartimento di Giustizia degli Stati Uniti (DOJ) per gestire, mantenere e trarre profitto dai servizi per procura.
Il DOJ ha osservato che gli utenti hanno pagato una tassa di abbonamento mensile, che va da $ 9,95 a $ 110 al mese, con gli attori delle minacce più di $ 46 milioni vendendo l’accesso ai router infetti. Si ritiene che il servizio sia disponibile dal 2004.
Ha anche affermato che l’Ufficio federale degli Stati Uniti (FBI) ha trovato router commerciali e residenziali in Oklahoma che erano stati hackerati per installare malware a conoscenza degli utenti.
“Una media settimanale di 1.000 robotic unici in contatto con l’infrastruttura di comando e controllo (C2), situata in Turchia”, ha detto Lumen Applied sciences Black Lotus Labs in A rapporto condiviso con le notizie di hacker. “Oltre la metà di queste vittime è negli Stati Uniti, con il Canada ed Ecuador che mostrano i prossimi due totali più alti.”
I servizi in questione – AchrOproxy.web E 5socks.web – sono stati interrotti come parte di uno sforzo Operation Moonlander. Lumen ha detto a Hacker Information che entrambe le piattaforme indicano la “stessa botnet, vendendo in due diversi servizi nominati”.
Istantanee catturato Sull’archivio Web mostra che 5Socks.web ha pubblicizzato “più di 7000 proxy on-line al giorno” che abbracciano vari paesi e stati degli Stati Uniti, consentendo agli attori delle minacce di svolgere in modo anonimo una vasta gamma di attività illecite in cambio di un pagamento di criptovaluta.
Lumen ha affermato che i dispositivi compromessi sono stati infettati da un malware chiamato Thooonche ha anche alimentato un altro servizio di proxy penale denominato Senza volto. La società ha anche fatto il passo per interrompere l’infrastruttura inserendo null tutto il traffico da e verso i loro punti di controllo noti.
“I due servizi erano essenzialmente lo stesso pool di proxy e C2, e oltre a quel malware, stavano usando una varietà di exploit che erano utili contro i dispositivi EOL”, ha detto Lumen a Hacker Information. “Tuttavia, i servizi di procura non sono correlati (per senza volto).”
Si sospetta che gli operatori della botnet si basino su exploit noti per violare i dispositivi EOL e li mettono nella botnet proxy. È stato scoperto che i robotic appena aggiunti contattano un’infrastruttura C2 basata su tacchino composta da cinque server, di cui quattro sono progettati per comunicare con le vittime infette sul porto 80.
“Uno di questi 5 server utilizza UDP sul porto 1443 per ricevere il traffico delle vittime, pur non inviando nessuno in cambio”, ha affermato la società di sicurezza informatica. “Sospettiamo che questo server sia utilizzato per archiviare informazioni dalle loro vittime.”
In una consulenza emessa dall’FBI giovedì, l’agenzia disse Gli attori delle minacce dietro le botnet hanno sfruttato le vulnerabilità di sicurezza be aware nei router esposti a Web per installare malware che garantisce un persistente accesso remoto.
L’FBI ha inoltre sottolineato che i router EOL sono stati compromessi con una variante di malware temoon, consentendo agli attori delle minacce di installare software program proxy sui dispositivi e aiutare a condurre crimini informatici in forma anonima. THEOON period Primo documentato Dall’Istituto SANS Expertise nel 2014 in attacchi destinati ai router Linksys.
“THEOON non richiede una password per infettare i router; scansiona le porte aperte e invia un comando a uno script vulnerabile”, l’FBI disse. “Il malware contatta il server Command-and-Management (C2) e il server C2 risponde con le istruzioni, che può includere l’istruzione della macchina infetta di scansionare altri router vulnerabili per diffondere l’infezione ed espandere la rete.”
Quando gli utenti acquistano un proxy, ricevono una combinazione IP e porte per la connessione. Proprio come nel caso di Nsocksil servizio manca di qualsiasi autenticazione aggiuntiva una volta attivata, rendendolo maturo per abusi. È stato scoperto che 5Socks.web è stato utilizzato per condurre frodi pubblicitarie, DDO e attacchi di forza bruta e sfruttare i dati delle vittime.
Per mitigare i rischi posti da tali botnet proxy, si consiglia agli utenti di riavviare regolarmente router, installare aggiornamenti di sicurezza, modificare le password predefinite e aggiornare i modelli più recenti una volta raggiunto lo stato EOL.
“I servizi per proxy hanno e continueranno a presentare una minaccia diretta alla sicurezza di Web in quanto consentono agli attori dannosi di nascondersi dietro IPS residenziali ignari, complicando il rilevamento da parte degli strumenti di monitoraggio della rete”, ha affermato Lumen.
“Man mano che un vasto numero di dispositivi di positive vita rimane in circolazione e il mondo continua advert adottare i dispositivi nell’Web of Issues”, continuerà a esserci un enorme pool di obiettivi per attori dannosi “.
