Роутер раздавал Wi-Fi и чуть-чуть преступлений. Каждую секунду. 20 лет

Правоохранительные органы ликвидировали ботнет, который на протяжении двадцати лет заражал тысячи маршрутизаторов по всему миру. С его помощью злоумышленники создали две сети прокси-серверов, работавших через домашние устройства, — Anyproxy и 5socks.

Министерство юстиции США предъявило обвинения четверым фигурантам дела: россиянам Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину, а также гражданину Казахстана Дмитрию Рубцову. По версии следствия, они участвовали в создании, поддержке и монетизации этих нелегальных сервисов.

Операция под кодовым названием "Moonlander" объединила усилия американских властей, прокуратуры и следователей национальной полиции Нидерландов, нидерландской прокуратуры (Openbaar Ministerie), королевской полиции Таиланда, а также аналитиков Black Lotus Labs при компании Lumen Technologies.

Материалы дела показывают, что с 2004 года ботнет заражал устаревшие беспроводные маршрутизаторы вредоносным программным обеспечением. Несанкционированный доступ к скомпрометированным устройствам продавали в качестве прокси-серверов, работающих через домашние устройства, на сайтах Anyproxy.net и 5socks.net. Оба домена находились под управлением компании, зарегистрированной в штате Вирджиния, а серверы располагались в разных странах мира.

Операторы принимают оплату только в криптовалюте. Пользователи получают прямой доступ к прокси без аутентификации, что, как показывают предыдущие инциденты, открывает широкие возможности для злоумышленников, — отмечают специалисты Black Lotus Labs .

По их данным, популярные инструменты вроде VirusTotal распознают как вредоносные лишь около 10% IP-адресов из этой сети. Это позволяет прокси постоянно и с высокой степенью эффективности обходить большинство систем сетевого мониторинга. Такие сервисы помогают скрывать различные противоправные действия: мошенничество с рекламой, DDoS-атаки, подбор паролей и кражу пользовательских данных.

Стоимость подписки варьировалась от 9,95 до 110 долларов в месяц в зависимости от набора услуг. Слоган сайта — "Работаем с 2004 года!" — подтверждает, что сервис действовал более двух десятилетий.

Обвиняемые рекламировали свои услуги на различных площадках, включая теневые рынки, предлагая доступ к более чем 7000 прокси через домашние IP. По данным следствия, они заработали свыше 46 миллионов долларов на продаже подписок к зараженным маршрутизаторам в сети Anyproxy.

Для управления сайтами Anyproxy.net и 5socks.net использовались серверы российского хостинг-провайдера JCS Fedora Communications. Инфраструктура ботнета также включала серверы в Нидерландах, Турции и других государствах, через которые осуществлялось управление как самим ботнетом, так и обоими сайтами.

Всем фигурантам предъявлены обвинения в сговоре и повреждении защищенных компьютеров. Черткову и Рубцову также вменяют ложную регистрацию доменного имени.

В среду ФБР выпустило экстренное предупреждение и публичное обращение о том, что ботнет атакует маршрутизаторы с истекшей поддержкой (end-of-life, EoL), используя модифицированную версию вредоносной программы TheMoon. Установленные прокси позволяют скрывать следы при проведении заказных кибератак, хищении криптовалюты и других противоправных действиях.

Среди наиболее частых целей — различные модели маршрутизаторов Linksys и Cisco. В списке уязвимых устройств также: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, а также Linksys WRT320N, WRT310N, WRT610N и маршрутизаторы Cisco M10 и Cradlepoint E100.

Недавно мы обнаружили, что устаревшие маршрутизаторы с включенным удаленным администрированием заражены новым вариантом вредоносной программы TheMoon. Она позволяет злоумышленникам устанавливать прокси на устройства ничего не подозревающих пользователей и анонимно заниматься противоправной деятельностью, — поясняют в ФБР.

Как отмечается в обвинительном заключении, прокси через домашние адреса особенно ценны для хакеров , поскольку системы безопасности в интернете с гораздо большей вероятностью считают такой трафик легитимным по сравнению с трафиком от коммерческих адресов.