Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε τη διακοπή λειτουργίας του ρωσικού malware botnet RSocks που χρησιμοποιείται για το hijack εκατομμυρίων υπολογιστών, Android smartphone και συσκευών IoT (Internet of Things) παγκοσμίως για χρήση ως proxy servers.
Δείτε επίσης: Το νέο Go botnet Panchan εξαπλώνεται γρήγορα στα εκπαιδευτικά δίκτυα
Στην επιχείρηση επιβολής του νόμου συμμετείχαν το FBI και οι αστυνομικές δυνάμεις στη Γερμανία, την Ολλανδία και το Ηνωμένο Βασίλειο, όπου το botnet διατηρούσε τμήματα της υποδομής του.
Ένα botnet είναι ένα σμήνος συσκευών που οι απειλητικοί φορείς μπορούν να ελέγξουν εξ αποστάσεως για να εκτελέσουν διάφορες συμπεριφορές, συμπεριλαμβανομένων των επιθέσεων DDoS, του crypto mining και της ανάπτυξης πρόσθετου malware.
Στην περίπτωση του RSocks, το botnet χρησιμοποιήθηκε για τη μετατροπή οικιακών υπολογιστών σε proxy servers, επιτρέποντας στους πελάτες του botnet να τους χρησιμοποιούν για κακόβουλη δραστηριότητα ή να εμφανίζονται ως προερχόμενοι από μια οικιακή διεύθυνση IP.
Δείτε επίσης: Botnet XLoader: Κρύβει τους servers του με χρήση θεωρίας πιθανοτήτων
Τα τυπικά σενάρια χρήσης για αυτές τις υπηρεσίες περιλαμβάνουν λειτουργίες ηλεκτρονικού ψαρέματος (phishing), credential stuffing, απόπειρες takeover λογαριασμού κ.λπ. Επιπλέον, η χρήση μιας υπηρεσίας proxy καθιστά δυσκολότερη την παρακολούθηση των απειλητικών παραγόντων από τις αρχές επιβολής του νόμου, ειδικά όταν αυτές οι διευθύνσεις IP ανήκουν σε άτομα που δεν γνωρίζουν οι συσκευές τους κατασχέθηκαν.
Το RSocks προωθήθηκε επίσης για χρήση από shopping bots, όπως τα sneaker bots, που επωφελούνται από τη χρήση διευθύνσεων IP κατοικίας, οι οποίες συνήθως δεν απαγορεύονται από online retailers.
Μια μυστική έρευνα
Οι πράκτορες του FBI άρχισαν να χαρτογραφούν την υποδομή RSocks σε μια μυστική επιχείρηση όπου αγόρασαν για να αποκτήσουν πρόσβαση σε μεγάλο αριθμό proxies το 2017.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών, το κόστος για την πρόσβαση σε RSocks proxy pools κυμαινόταν από 30 $ την ημέρα για 2.000 proxies έως 200 $ την ημέρα για 90.000 proxies.
Εκείνη την εποχή, οι ερευνητές εντόπισαν 325.000 παραβιασμένες συσκευές, πολλές από τις οποίες βρίσκονταν στις Ηνωμένες Πολιτείες. Το RSocks φέρεται να παραβίασε αυτές τις συσκευές κάνοντας brute-forcing τους κωδικούς πρόσβασής τους και εγκαθιστώντας λογισμικό στους υπολογιστές που είχαν παραβιαστεί για να τις μετατρέψει σε proxy servers.
Δείτε επίσης: Fronton botnet: Κάνει πολύ περισσότερα από επιθέσεις DDoS
Ενώ η λειτουργία του RSocks έχει διακοπεί ως αποτέλεσμα αυτής της διεθνούς επιχείρησης επιβολής του νόμου, αυτή τη φορά δεν έχουν ανακοινωθεί συλλήψεις.
Απειλή botnet
Τα botnets είναι μια συνεχής απειλή που αλλάζει σχήμα για συσκευές που δεν είναι ασφαλείς, όπως routers και άλλες «έξυπνες» συσκευές IoT συνδεδεμένες στο Διαδίκτυο, οι οποίες συχνά παραμελούνται και αφήνονται να λειτουργούν χωρίς επίβλεψη για παρατεταμένες περιόδους.
Για την προστασία των συσκευών IoT, οι ιδιοκτήτες θα πρέπει πάντα να αλλάζουν τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή σε κάτι πιο ισχυρό που είναι δύσκολο να επιβληθεί, να εφαρμόσουν τις πιο πρόσφατες διαθέσιμες ενημερώσεις firmware και να δημιουργήσουν ένα ξεχωριστό δίκτυο για IoT, τα οποία είναι απομονωμένα από κρίσιμες συσκευές.
Πηγή πληροφοριών: bleepingcomputer.com
