As autoridades de aplicação da lei desmantelaram uma botnet que infectou milhares de roteadores nos últimos 20 anos para construir duas redes de proxies residenciais conhecidas como Anyproxy e 5socks.
O Departamento de Justiça dos EUA também indiciou três cidadãos russos (Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov e Aleksandr Aleksandrovich Shishkin) e um cazaque (Dmitriy Rubtsov) por seu envolvimento na operação, manutenção e lucro com esses dois serviços ilegais.
Durante esta ação conjunta chamada 'Operation Moonlander', as autoridades dos EUA trabalharam com promotores e investigadores da Polícia Nacional Holandesa, do Serviço de Procuradoria Pública dos Países Baixos (Openbaar Ministerie) e da Polícia Real Tailandesa, bem como analistas da Lumen Technologies' Black Lotus Labs.
Documentos judiciais mostram que a botnet agora desmantelada infectou roteadores sem fio antigos em todo o mundo com malware desde pelo menos 2004, permitindo acesso não autorizado aos dispositivos comprometidos para serem vendidos como servidores proxy em Anyproxy.net e 5socks.net.
Os dois domínios eram gerenciados por uma empresa sediada na Virgínia e hospedados em servidores globalmente.
"Os controladores da botnet exigem pagamento em criptomoeda. Os usuários podem se conectar diretamente com os proxies sem autenticação, o que, como documentado em casos anteriores, pode levar a um amplo espectro de atores maliciosos ganhando acesso livre", disse o Black Lotus Labs.
Dada a gama de fontes, apenas cerca de 10% são detectados como maliciosos em ferramentas populares como o VirusTotal, significando que eles consistentemente evitam as ferramentas de monitoramento de rede com um alto grau de sucesso.
Proxies como este são projetados para ajudar a ocultar uma gama de atividades ilícitas incluindo fraude de anúncios, ataques DDoS, força bruta ou exploração de dados das vítimas.
Seus usuários pagavam uma assinatura mensal variando de $9,95 a $110 por mês, dependendo dos serviços solicitados.
"O slogan do website, 'Trabalhando desde 2004!', indica que o serviço está disponível há mais de 20 anos", disse o Departamento de Justiça hoje.
Os quatro réus promoveram os dois serviços (promovendo mais de 7.000 proxies) como serviços de proxy residenciais em vários websites, incluindo aqueles usados por criminosos cibernéticos, e supostamente coletaram mais de $46 milhões vendendo assinaturas que forneciam acesso aos roteadores infectados que fazem parte da botnet Anyproxy.
Eles operavam os websites Anyproxy.net e 5socks.net usando servidores registrados e hospedados na JCS Fedora Communications, um provedor de hospedagem de internet da Rússia.
Eles também usaram servidores nos Países Baixos, Turquia e outros locais para gerenciar a botnet Anyproxy e os dois websites.
Todos foram acusados de conspiração e danos a computadores protegidos, enquanto Chertkov e Rubtsov também foram acusados de registrar falsamente um nome de domínio.
O FBI também emitiu um aviso de alerta e um anúncio de serviço público avisando que esta botnet estava visando roteadores com patch fim de vida (EoL) com uma variante do malware TheMoon.
O FBI alertou que os atacantes estão instalando proxies posteriormente usados para evadir a detecção durante atividades de cibercrime por aluguel, ataques de roubo de criptomoeda e outras operações ilegais.
A lista de dispositivos comumente visados pela botnet inclui modelos de roteadores Linksys e Cisco, incluindo:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cisco M10 e Cradlepoint E100
"Recentemente, alguns roteadores no fim de vida útil, com administração remota ativada, foram identificados como comprometidos por uma nova variante do malware TheMoon.
Este malware permite que cibercriminosos instalem proxies em roteadores de vítimas desavisadas e conduzam crimes cibernéticos anonimamente", disse o FBI.
"Tais serviços de proxy residenciais são particularmente úteis para hackers criminais para fornecer anonimato ao cometer crimes cibernéticos; endereços IP residenciais - em oposição aos comerciais - geralmente são assumidos pelos serviços de segurança na internet como muito mais prováveis de serem tráfego legítimo", adicionou a acusação de hoje.
Desta forma, os conspiradores obtiveram ganho financeiro privado com a venda de acesso aos roteadores comprometidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...