Geçen hafta ABD, Almanya, Hollanda ve İngiltere’deki yetkililer, “RSOCKS“botnet, kötü niyetli trafiğini başka birinin bilgisayarı üzerinden yönlendirmenin yollarını arayan siber suçlulara “vekil” olarak satılan milyonlarca saldırıya uğramış cihazdan oluşan bir koleksiyon. Koordine eylem, RSOCKS’ın arkasındaki iddia edilen Rus bilgisayar korsanlarının adını vermese de, KrebsOnSecurity, sahibinin, dünyanın en iyi spam forumunu yöneten, yurtdışında yaşayan 35 yaşındaki bir Rus adam olduğunu belirledi.
RUSdot mailer, RSOCKS yöneticisi tarafından yapılan ve satılan e-posta spam aracı.
Göre Bir deyim tarafından ABD Adalet BakanlığıRSOCKS, istemcilere saldırıya uğramış cihazlara atanan IP adreslerine erişim sağladı:
“RSOCKS platformunu kullanmak isteyen bir siber suçlu, müşterinin ödeme yapmasına izin veren web tabanlı bir ‘storefront’a (yani, kullanıcıların botnet’e erişim satın almalarına izin veren halka açık bir web sitesi) gezinmek için bir web tarayıcısı kullanabilir. belirli bir günlük, haftalık veya aylık süre için bir vekil havuzuna erişim kiralayın. Bir RSOCKS proxy havuzuna erişim maliyeti, 2.000 proxy erişimi için günlük 30 ABD Doları ile 90.000 proxy erişimi için günlük 200 ABD Doları arasında değişiyordu.
DOJ’un açıklamasında, RSOCKS’un, botnet için web mağazasına erişimin ilk kez birden fazla Rusça siber suç forumunda ilan edildiği 2014 yılından beri faaliyette olduğundan bahsetmiyor.
Rus suç forumunda “RSOCKS” kullanıcısı Doğrulandı adını önceki bir tanıtıcıdan RSOCKS olarak değiştirdi: “Stanks”, 2016’da Verified’daki ilk satış ileti dizisi, forum kurallarını hızla ihlal etti ve forum yöneticisi tarafından halka açık bir cezaya yol açtı.
Verified, geçtiğimiz birkaç yıl içinde iki kez saldırıya uğradı ve her seferinde forumdaki tüm kullanıcıların özel mesajları sızdırıldı. Bu mesajlar, forum ihlali konusunda uyarıldıktan sonra Stanx’in Doğrulanmış yöneticiye siber suçlu gerçek niyetini detaylandıran özel bir mesaj gönderdiğini gösteriyor.
Stanx Eylül 2016’da “RUSdot forumunun (eski Spamdot) sahibiyim” diye yazdı. “Spam konularında insanlar beni güvenilir bir kişi olarak tanıyor.”
Rusdot spam forumunun Google tarafından çevrilmiş bir sürümü.
RUSdot halefi forumdur spam noktadünyanın en iyi spam göndericilerinin, virüs yazarlarının ve siber suçluların çoğunun yıllar önce işbirliği yaptığı çok daha gizli ve kısıtlı bir forum 2010 yılında topluluğun patlaması. Bugün bile, RUSdot Mailer’ın RUSdot topluluk forumunun en üstünde satış için reklamı yapılıyor.
Stanx, Rus hacker forumu da dahil olmak üzere birçok büyük forumun uzun zamandır üyesi olduğunu söyledi. antichat (2005’ten beri) ve Rus suç forumu Faydalanmak (Nisan 2013’ten beri). Ocak 2005’te Antichat’a yaptığı erken bir gönderide Stanx, OmskRusya’nın Sibirya bölgesinde büyük bir şehir.
Siber istihbarat firmasına göre Intel 471kullanıcı Stanx gerçekten de e-posta adresini kullanarak Exploit’e 2013’te kaydoldu [email protected]ve ICQ numarası 399611. Bu ICQ numarası için Google’da yapılan bir arama, bir Vkontakte profili için Denis “Neo” KlosterOmsk, Rusya’dan.
siber güvenlik firması takımyıldızı istihbarat 2017’de e-posta adresini kullanan birinin [email protected] Rus serbest çalışan iş sitesinde kayıtlı fl.ru profil adı ile “Denis Kloster” ve Omsk telefon numarası 79136334444. Constella tarafından indekslenen bir başka kayıt, Denis’in gerçek soyadının aslında “Emilyantsev” [Емельянцев].
Bu telefon numarası, yıllar içinde birden fazla alan adı için WHOIS kayıt kayıtlarına bağlıdır. vekil[.]bilgi, tüm proxy[.]bilgi, kloster.pro ve deniskloster.com.
Denis Kloster’ın 2019’da Vkontakte sayfasında yayınlanan pasaportunun bir kopyası. Ekim 2019’da Tayland, Bangkok’taki Amerikan Büyükelçiliğinden vize aldığını gösteriyor.
DenisKloster.com’un “hakkımda” bölümünde 35 yaşındaki adamın Omsk’ta doğduğunu, ilk bilgisayarını 12 yaşında aldığını ve liseden 16 yaşında mezun olduğunu söylüyor. Kloster, Omsk’ta birçok büyük şirkette çalıştığını söylüyor. sistem yöneticisi, web geliştiricisi ve fotoğrafçı olarak.
Kloster’ın bloguna göre, ilk gerçek işi kurduğu bir “çevrimiçi reklamcılık” firmasını yönetmekti. İnternet Reklamcılığı Omsk (“riOmsk“) ve hatta bir süre New York’ta yaşadığını söyledi.
Kloster, “Yeni bir şey gerekliydi ve Omsk’tan ayrılmaya ve Amerika’da yaşamaya karar verdim” dedi. 2013’te yazdı. “Kendime Amerika vizesi açtım, alması zor olmadı. Ve böylece dünyanın en büyük şehri olan New York’ta, tüm dileklerin gerçekleştiği bir ülkede yaşamak için taşındım. Ama bu bile benim için yeterli değildi ve o zamandan beri dünyayı dolaşmaya başladım.”
bu Hakkımda sayfasının şu anki sürümü Kloster’ın sitesinde, dünyayı dolaşmak ve yeni şirketine odaklanmak için reklamcılık işini 2013’te kapattığını söylüyor: Dünyanın her yerindeki müşterilere güvenlik ve anonimlik hizmetleri sağlayan şirket. Kloster’ın makyaj sitesi ve LinkedIn sayfası ikisi de onu “adlı bir şirketin CEO’su olarak listeliyor”SL MobPartners”
2016 yılında Deniskloster.com operasyonda üç yılı kutlayan bir yazı. Yıldönümü gönderisi, Kloster’ın anonimlik işinin, çoğu makaleye gönderilen bir grup fotoğrafında yer alan yaklaşık iki düzine çalışana ulaştığını söyledi (ve Kloster’ın bazılarına ilk adları ve soyadının baş harfleriyle teşekkür etti).
2016 dolaylarında RSOCKS için işleri devam ettiren çalışanlar.
Gönderi, “Sizin sayesinde artık bilgi güvenliği ve anonimlik alanında gelişiyoruz!” “Dünya çapında binlerce insan tarafından kullanılan ürünler yapıyoruz ve bu çok havalı! Ve bu sadece başlangıç!!! Biz sadece birlikte çalışmıyoruz ve sadece arkadaş değiliz, biz bir Aileyiz.”
Bay Kloster, tekrarlanan yorum taleplerine yanıt vermedi.
Botnet sahipleri suç makinelerini basitçe yeniden oluşturabilecekleri ve muhtemelen yeniden markalayabilecekleri için, RSOCKS botnetini hedef alan koordineli yayından kaldırmanın kalıcı olup olmayacağı belli değil. RSOCKS sahibinin gönderilerine dayanarak, tam olarak yapmak istedikleri şey budur.
17 Haziran’da BlackHatWorld forumunda Rsocks hesabında “RSocks artık yok” diye yazdı. “Ama endişelenme. Tüm aktif planlar ve fon bakiyeleri başka bir servise aktarılacaktır. Bizi izlemeye devam edin. Adını ve tüm detayları daha sonra size bildireceğiz.”
Rsocks, BlackHatWorld topluluğuna yakında yeni bir adla geri döneceklerini söyledi.
RSOCKS gibi kötü amaçlı yazılım tabanlı proxy hizmetleri, birçok ek özellik sunan ve giderek daha karmaşık proxy hizmetleri sunan bir siber suç pazarında rekabetçi kalmak için mücadele etti. RSOCKS’ın ölümü, VIP72[.]comsahiplerinden önce on yıl boyunca çalışan rakip bir proxy botnet hizmeti servisin fişini çekti geçen yıl.