«Я просто хотел подзаработать» — военный рассказал, как продал Родину за бесплатное кино

История с DSLRoot всколыхнула сообщество кибербезопасности, когда на Reddit появился пост пользователя под ником Sacapoopie, представившегося сотрудником Национальной гвардии США с доступом к секретным данным. Он рассказал, что уже несколько лет получает по $250 в месяц от компании DSLRoot за то, что у него дома подключены два ноутбука к отдельной линии DSL. По его словам, оборудование подключено изолированно от домашнего интернета, которым семья пользуется через Starlink.

Многие участники обсуждения отнеслись к этому с недоверием, не поверив, что человек с допуском уровня TS/SCI согласился установить подозрительные устройства в своём доме. Однако Sacapoopie настаивал, что оборудование выглядит как обычные ноутбуки с предустановленным софтом, который запускает несколько консольных окон и устанавливает неизвестные соединения. Он уточнил, что познакомился с компанией около 5 лет назад через рекламу в соцсетях и с тех пор контактировал только с «техником» из DSLRoot для решения проблем с подключением.

Компания DSLRoot в ответ на запросы заявила, что действует прозрачно и работает с так называемыми «региональными агентами» в США, добровольно предоставляющими интернет-каналы. Представители уверяют, что следят за активностью и запрещают незаконное использование своих прокси . По их словам, они не знали, что речь идёт о военном, и отметили, что сотрудничать готовы с любым жителем США, будь то пенсионерка или студент.

DSLRoot возникла в 2012 году на форумах вроде BlackHatWorld и рекламировалась как сервис «резидентских прокси» под брендами DSLRoot и GlobalSolutions. Компания зарегистрирована на Багамах, но её корни уходят в Восточную Европу и Россию. Суть бизнеса проста: жители США за вознаграждение устанавливают у себя оборудование, а клиенты из других стран получают доступ к их IP-адресам как к выделенным прокси . Цена аренды — около $190 в месяц за полный доступ ко всем узлам сети.

Расследования показывают, что за DSLRoot стоят аккаунты с длинной историей на форумах для «чёрных оптимизаторов» и связанных с ними сервисов. Среди упомянутых адресов фигурируют instantvirtualcreditcards[.]com, incorptoday[.]com, dslroot[.]com и десятки других, используемых в схемах с виртуальными картами и регистрацией фиктивных компаний в США. В ряде случаев это сопровождалось предложением «без вопросов» открыть розничные счета в американских банках.

Имя, которое всплывает в связке с проектом, — Андрей Холас, уроженец Белоруссии, ранее проживавший в Алабаме и Москве. Его дата рождения совпадает с указанной в профилях GlobalSolutions. Связанные с ним аккаунты на форумах и соцсетях также упоминали затруднения с получением американских виз и участие в различных онлайн-проектах.

DSLRoot унаследовал и методы старого «USProxyKing», известного на BlackHatWorld по схемам с платными установками вредоносных программ . Он платил за распространение рекламного вредоносного ПО, превращавшего заражённые ПК в прокси, а затем продавал доступ к ним сторонним игрокам. Таким образом формировались так называемые «законные ботнеты» — сети из тысяч машин, фактически сдающих свой трафик в аренду.

Сегодня рынок изменился, и конкуренция со стороны десятков аналогичных сервисов снизила активность DSLRoot. По данным Infrawatch, сеть насчитывает менее 300 узлов, преимущественно на провайдерах CenturyLink и Frontier. Анализ установщика показал, что софт обращается к proxysource[.]net, где рекламируются услуги по обходу ограничений на публикацию объявлений, например на Craigslist. Более того, код способен управлять роутерами разных брендов с использованием жёстко прописанных паролей и уязвимостей, а также сканировать ближайшие Wi-Fi сети.

Несмотря на заявления о прозрачности, факты указывают на долгую связь DSLRoot с теневыми форумами, инструментами для анонимных платежей и схемами обхода ограничений. Случай с пользователем Reddit показал, что даже люди с высоким уровнем допуска могут пренебречь базовой осторожностью ради дополнительного дохода. А подобные «юридически оформленные ботнеты » остаются привлекательными как для серых рекламных схем, так и для более опасных игроков, включая APT-группировки, использующие чужие соединения для атак и прикрытия своей активности.