- Автор темы
- #1
Правоохранительные органы ликвидировали ботнет, который более 20 лет заражал маршрутизаторы. Ботнет поддерживал работу двух сервисов, предлагавших резидентные прокси — Anyproxy и 5socks.
Министерство юстиции США сообщает, что предъявило обвинения трем гражданам России (Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину) и гражданину Казахстана (Дмитрию Рубцову), которых подозревают в причастности к эксплуатации, поддержке и извлечению прибыли из этих двух незаконных сервисов.
Операция по ликвидации ботнета получила название Moonlander, и в ее рамках американские правоохранители сотрудничали с прокурорами и следователями из Национальной полиции и прокуратуры Нидерландов, Королевской полиции Таиланда, а также аналитиками Black Lotus Labs из компании Lumen Technologies.
Согласно судебным документам, ликвидированный ботнет заражал малварью старые беспроводные роутеры по всему миру и был активен как минимум с 2004 года. Получив несанкционированный доступ к скомпрометированным устройствам, злоумышленники использовали их в качестве прокси, которые продавались на сайтах Anyproxy[.]net и 5socks[.]net. Эти домены управлялись компанией из Вирджинии и хостились на серверах по всему миру.
Карта зараженных устройств
Стоимость ежемесячной подписки для пользователей сервисов составляла от 9,95 до 110 долларов в месяц в зависимости от запрашиваемых услуг.
Правоохранители писали, что на взломанные устройства устанавливаются прокси, которые впоследствии используются для уклонения от обнаружения во время атак на кражу криптовалюты и других незаконных операций.
ФБР сообщало, что, как правило, ботнет атакует роутеры Linksys и Cisco, включая:
Министерство юстиции США сообщает, что предъявило обвинения трем гражданам России (Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину) и гражданину Казахстана (Дмитрию Рубцову), которых подозревают в причастности к эксплуатации, поддержке и извлечению прибыли из этих двух незаконных сервисов.
Операция по ликвидации ботнета получила название Moonlander, и в ее рамках американские правоохранители сотрудничали с прокурорами и следователями из Национальной полиции и прокуратуры Нидерландов, Королевской полиции Таиланда, а также аналитиками Black Lotus Labs из компании Lumen Technologies.
Согласно судебным документам, ликвидированный ботнет заражал малварью старые беспроводные роутеры по всему миру и был активен как минимум с 2004 года. Получив несанкционированный доступ к скомпрометированным устройствам, злоумышленники использовали их в качестве прокси, которые продавались на сайтах Anyproxy[.]net и 5socks[.]net. Эти домены управлялись компанией из Вирджинии и хостились на серверах по всему миру.
Карта зараженных устройствСтоимость ежемесячной подписки для пользователей сервисов составляла от 9,95 до 110 долларов в месяц в зависимости от запрашиваемых услуг.
Сообщается, что упомянутые выше обвиняемые рекламировали свои сервисы, при этом упоминая более 7000 доступных резидентных прокси. Реклама встречалась на различных сайтах, в том числе используемых киберпреступниками. По данным правоохранителей, на продаже подписок операторы сервисов заработали более 46 млн долларов.
Стоит отметить, что за несколько дней до этого ФБР предупредило, что этот ботнет нацелен на старые маршрутизаторы и атакует их с помощью вариации малвари TheMoon.
Правоохранители писали, что на взломанные устройства устанавливаются прокси, которые впоследствии используются для уклонения от обнаружения во время атак на кражу криптовалюты и других незаконных операций.
ФБР сообщало, что, как правило, ботнет атакует роутеры Linksys и Cisco, включая:
- Linksys E1200, E2500, E1000, E4200, E1500, E3000, E3200, E1550;
- Linksys WRT320N, WRT310N, WRT610N;
- Cisco M10;
- Ericsson Cradlepoint E100.