Een gezamenlijke wetshandhavingsoperatie van de Nederlandse en Amerikaanse autoriteiten heeft een crimineel proxy-netwerk gedemonteerd dat wordt aangedreven door duizenden geïnfecteerde Internet of Things (IoT) en EOL-apparaten (EOL), waardoor ze in een botnet worden gebracht voor het bieden van anonimiteit aan kwaadaardige actoren.
In combinatie met de Domain -inbeslagname, Russische Nationals, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36 en Dmitriy Rubtsov, 38, een Kazachstani -nationaal, zijn gekoeld door de Amerikaanse afdeling (DOJ) voor het proxy, onderhoud, onderhoud, onderhoud, onderhoud, bewaarden, en profitatie van het proxy, en de proxy van de proxy, voor het proxy, bewaren, bewaarden, bewaarden, bewaren, en een proxy. Diensten.
De DOJ merkte op dat gebruikers een maandelijkse abonnementskosten betaalden, variërend van $ 9,95 tot $ 110 per maand, waardoor de dreigingsactoren meer dan $ 46 miljoen letten door toegang te verkopen aan de geïnfecteerde routers. Aangenomen wordt dat de service sinds 2004 beschikbaar is.
Het zei ook dat het US Federal Bureau of Investigation (FBI) zakelijke en residentiële routers in Oklahoma heeft gevonden die waren gehackt om malware te installeren zonder kennis van de gebruikers.
“Een wekelijks gemiddelde van 1.000 unieke bots in contact met de Command-and-Control (C2) -infrastructuur, in Turkije,” zei Lumen Technologies Black Lotus Labs in een rapport gedeeld met The Hacker News. “Meer dan de helft van deze slachtoffers bevindt zich in de Verenigde Staten, met Canada en Ecuador die de volgende twee hoogste totalen toont.”
De Services in kwestie – AnyProxy.Net en 5Socks.net – zijn verstoord als onderdeel van een inspanning met de codenaam Operation Moonlander. Lumen vertelde The Hacker News dat beide platforms naar hetzelfde botnet wijzen, verkopen onder twee verschillende genoemde services. “
Snapshots die op het internetarchief zijn vastgelegd, laten zien dat 5socks.net adverteerden “meer dan 7.000 online proxy’s dagelijks” die verschillende landen en staten van de VS omvatten, waardoor dreigingsactoren een breed scala aan illegale activiteiten anoniem kunnen uitvoeren in ruil voor een cryptocurrency -betaling.
Lumen zei dat de gecompromitteerde apparaten waren geïnfecteerd met een malware genaamd Themoon, die ook een andere criminele proxy -service heeft aangewakkerd die gezichtsloos wordt genoemd. Het bedrijf heeft ook de stap gezet om de infrastructuur te verstoren door al het verkeer van en naar hun bekende controlepunten niet te routeren.
“De twee diensten waren in wezen dezelfde pool van proxy’s en C2S, en naast die malware gebruikten ze verschillende exploits die nuttig waren tegen EOL -apparaten,” vertelde Lumen aan The Hacker News. “De proxy -diensten zelf zijn echter niet gerelateerd (tot gezichtsloos).”
Er wordt vermoed dat de operatoren van de botnet afhankelijk waren van bekende exploits om EOL -apparaten te overtreden en ze in het proxy -botnet te touwen. Nieuw toegevoegde bots is gevonden om contact op te nemen met een in Turkije gebaseerde C2-infrastructuur bestaande uit vijf servers, waarvan er vier zijn ontworpen om te communiceren met de geïnfecteerde slachtoffers op haven 80.
“Een van deze 5 servers gebruikt UDP op poort 1443 om slachtoffersverkeer te ontvangen, terwijl ze er geen in ruil daarvoor worden verzenden,” zei het Cybersecurity Company. “We vermoeden dat deze server wordt gebruikt om informatie van hun slachtoffers op te slaan.”
In een advies uitgegeven door de FBI donderdag, zei het bureau dat de dreigingsacteurs achter de botnets bekende beveiligingskwetsbaarheden in aan internet blootgestelde routers hebben benut om malware te installeren die aanhoudende externe toegang verlenen.
De FBI wees er ook op dat de EOL -routers zijn aangetast met een variant van themoon -malware, waardoor de dreigingsacteurs proxy -software op de apparaten kunnen installeren en anoniem cybermisdrijven kunnen helpen uitvoeren. Themoon werd voor het eerst gedocumenteerd door het SANS Technology Institute in 2014 in aanvallen op Linksys Routers.
“Themoon heeft geen wachtwoord nodig om routers te infecteren; het scant op open poorten en verzendt een opdracht naar een kwetsbaar script,” zei de FBI. “De malware neemt contact op met de command-and-control (C2) -server en de C2-server reageert met instructies, waaronder het instrueren van de geïnfecteerde machine om te scannen op andere kwetsbare routers om de infectie te verspreiden en het netwerk uit te breiden.”
Wanneer gebruikers een proxy kopen, ontvangen ze een IP- en poortcombinatie voor verbinding. Net als in het geval van NSOCKS mist de service extra authenticatie zodra geactiveerd is, waardoor het rijp is voor misbruik. Het is gebleken dat 5socks.net is gebruikt om advertentiefraude, DDO’s en brute-force-aanvallen uit te voeren en de gegevens van slachtoffer te exploiteren.
Om de risico’s van dergelijke proxy -botnets te verminderen, wordt gebruikers geadviseerd om regelmatig routers opnieuw op te starten, beveiligingsupdates te installeren, standaardwachtwoorden te wijzigen en te upgraden naar nieuwere modellen zodra ze de EOL -status bereiken.
“Proxy -diensten hebben en zullen een directe bedreiging voor internetbeveiliging blijven vormen, omdat ze kwaadaardige actoren kunnen verbergen achter nietsvermoedende residentiële IP’s, waardoor detectie door netwerkmonitoringtools wordt gecompliceerd,” zei Lumen.
“Aangezien een groot aantal apparaten aan het einde van het leven in omloop blijft en de wereld apparaten blijft aannemen in het ‘Internet of Things’, zal er een enorme pool van doelen blijven voor kwaadaardige acteurs.”
