Kolluk kuvvetleri, son 20 yılda binlerce yönlendiriciyi enfekte eden bir botnet, herhangi bir proxy ve 5sock olarak bilinen iki konut vekili ağını inşa etmek için söktüler.
ABD Adalet Bakanlığı ayrıca üç Rus vatandaşını (Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov ve Aleksandrovich Shishkin) ve bir Kazakistan’ı (Dmitriy Rubtsov) bu iki yasadışı hizmetten faaliyet gösterdikleri, sürdürdükleri ve kazandıkları için suçladı.
‘Moonlander Operasyonu’ olarak adlandırılan bu ortak eylem sırasında ABD yetkilileri, Hollanda Ulusal Polisi, Hollanda Kamu Savcılığı Servisi (OpenBaar Bakanı) ve Kraliyet Taylandlı polisin yanı sıra Lumen Technologies Black Lotus Labs ile analistlerden savcılar ve araştırmacılarla çalıştı.
Mahkeme belgeleri, şimdi belirsiz Botnet’in dünya çapında kötü amaçlı yazılımlarla dünya çapında eski kablosuz internet yönlendiricilerini enfekte ettiğini ve uzlaşmış cihazlara herhangi bir proxy.net ve 5socks.net’te proxy sunucuları olarak satılmasına izin verdiğini göstermektedir. İki alan Virginia merkezli bir şirket tarafından yönetildi ve küresel olarak sunucularda ağırlandı.
Black Lotus Labs, “Botnet denetleyicileri ödeme için kripto para birimi gerektiriyor. Kullanıcıların, önceki durumlarda belgelendiği gibi, ücretsiz erişim sağlayan geniş bir kötü amaçlı aktör yelpazesine yol açabilecek kimlik doğrulaması kullanmadan doğrudan vekillerle bağlantı kurmalarına izin veriliyor.” Dedi.
“Kaynak aralığı göz önüne alındığında, Virustotal gibi popüler araçlarda sadece% 10’u kötü niyetli olarak tespit edilir, yani şebeke izleme araçlarını sürekli olarak yüksek derecede başarı ile önlerler. Bunun gibi vekiller, reklam sahtekarlığı, DDOS saldırıları, kaba zorlama veya mağdurun verilerini kullanma gibi bir dizi yasadışı arayışa yardımcı olmak için tasarlanmıştır.”
Kullanıcıları, istenen hizmetlere bağlı olarak aylık 9,95 $ ila 110 $ arasında değişen aylık bir abonelik ödedi. Adalet Bakanlığı bugün, “Web sitesinin sloganı, ‘2004’ten beri çalışıyor!’, Hizmetin 20 yıldan fazla bir süredir mevcut olduğunu gösteriyor.” Dedi.
Dört sanık, iki hizmetin (7.000’den fazla proxy’yi tanıtmak), siber suçlular tarafından kullanılanlar da dahil olmak üzere çeşitli web sitelerinde konut vekil hizmetleri olarak ilan ettiler ve her anproxy botnet’in enfekte yönlendiricilerinin bir kısmına erişim sağlayan abonelik satmaktan 46 milyon doların üzerinde para topladıkları iddia edildi.
Bir Rus internet barındırma sağlayıcısı JCS Fedora Communications’da kayıtlı ve barındırılan sunucuları kullanarak AnyProxy.net ve 5Socks.net web sitelerini işlettiler. Ayrıca, herhangi bir proxy botnet ve iki web sitesini yönetmek için Hollanda, Türkiye ve diğer yerlerde sunucular kullandılar.
Chertkov ve Rubtsov da bir alan adını yanlış bir şekilde kaydettirmekle suçlanırken, hepsinin korunan bilgisayarlara komplo ve hasarla suçlandığı.
Yaşam Sonu (EOL) yönlendiricilerini hedefleme
Çarşamba günü, FBI ayrıca bir flaş danışmanlığı ve bu BOTNET’in TEMOON kötü amaçlı yazılımlarının bir çeşidiyle Yama Yaşam Sonu (EOL) yönlendiricilerini hedeflediğini bildiren bir kamu hizmeti duyurusu yayınladı.
FBI, saldırganların daha sonra işe alım için siber suç faaliyetleri, kripto para birimi hırsızlığı saldırıları ve diğer yasadışı operasyonlar sırasında tespitten kaçınmak için kullanılan vekilleri kurdukları konusunda uyardı.
BOTNET tarafından yaygın olarak hedeflenen cihazların listesi, Linksys ve Cisco yönlendirici modellerini içerir:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cisco M10 ve CradlePoint E100
FBI, “Son zamanlarda, uzaktan yönetim açılan hayatın sonunda bazı yönlendiriciler, yeni bir tema kötü amaçlı yazılım varyantı tarafından tehlikeye atıldığı tespit edildi. Bu kötü amaçlı yazılım, siber aktörlerin şüphesiz kurban yönlendiricileri üzerine vekiller kurmasına ve anonim olarak siber suçlar yürütmesine izin veriyor.” Dedi.
“Bu tür konut vekil hizmetleri, ceza bilgisayar korsanlarının siber suçlar işlerken anonimlik sağlamak için özellikle yararlıdır; ticari olarak konut-IP adresleri genellikle İnternet güvenlik hizmetleri tarafından meşru trafik olma olasılığı daha yüksektir.” “Bu şekilde komplocular, tehlikeye atılan yönlendiricilere erişim satışından özel bir finansal kazanç elde ettiler.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.