У рамках міжнародної операції Moonlander ФБР США спільно з Національною поліцією Нідерландів знешкодили дві незаконні онлайн-платформи — Anyproxy та 5Socks, які продавали доступ до ботнету з інфікованих інтернет-пристроїв, зокрема домашніх роутерів.
Як повідомило Міністерство юстиції США, чотирьом особам пред’явлено офіційні обвинувачення в кібершахрайстві та створенні інфраструктури для анонімного доступу до Інтернету зловмисниками.
Як працювала схема
Обвинувачені — троє громадян Росії та один громадянин Казахстану — нібито заражали старі моделі Wi-Fi роутерів шкідливим ПЗ, перетворюючи їх на проксі-сервери без відома власників.
Під виглядом “резидентських проксі-сервісів” доступ до цих заражених пристроїв продавався на платформах Anyproxy та 5Socks, що діяли з 2004 року. За підрахунками слідства, злочинна група отримала понад 46 мільйонів доларів прибутку.
Ботнет використовувався для таких зловмисних дій, як:
- крадіжка паролів (password spraying)
- атаки типу DDoS
- шахрайство з рекламою (ad fraud)
- анонімізація кіберзлочинної активності
Масштаб та наслідки
За оцінками аналітиків Black Lotus Labs, ботнет мав у середньому близько 1000 активних проксі щотижня у понад 80 країнах. Основна частина заражених пристроїв — це застарілі моделі роутерів, які більше не отримують оновлення безпеки.
У справі фігурують:
- Олексій Вікторович Чертков (РФ)
- Кирило Володимирович Морозов (РФ)
- Олександр Олександрович Шишкін (РФ)
- Дмитро Рубцов (Казахстан).
Їм інкримінують змову з метою комп’ютерного шахрайства, несанкціоноване втручання в комп’ютерні системи та фальсифікацію реєстрацій доменів.
Американські правоохоронці закликають користувачів замінити застарілі роутери на сучасні моделі, вимкнути віддалене адміністрування та змінити стандартні паролі. Це мінімізує ризик стати частиною подібних ботнетів у майбутньому.
Нагадаємо, раніше видання GALERA повідомляло, про кібератаки, спрямовані проти України.
