Великий ботнет, що налічував 17 мільйонів пристроїв, був ліквідований у Нідерландах минулого тижня. Національний центр кібербезпеки країни (NCSC) оголосив про його знищення в четвер, заявивши, що спільно з місцевою поліцією “вжив заходів” проти 200 серверів, які виконували роль інфраструктури підтримки ботнету.
Читайте также: Перший Чоловік Бужинської: Історія, Особисте Життя та Кар’єра
Сліди ведуть в росію
Було зазначено, що неназваний хостинг-провайдер, який обслуговував ці сервери, відключив ботнет від мережі через його причетність до злочинної діяльності. NCSC не повідомив, який саме ботнет було ліквідовано. Проте видання The Hacker News, посилаючись на місцеву новинну агенцію NL Times, зазначило:
“Йдеться про сервіс Asocks — компанію, яка надає послуги резидентних проксі-серверів. На сайті Asocks вказано, що компанія надає корпоративні, резидентні та мобільні проксі, ціни на які варіюються від $5 до $15”.
Востаннє про Asocks було чутно приблизно два роки тому, коли дослідники виявили близько двох десятків безкоштовних VPN-додатків для Android, які таємно долучали пристрої користувачів до ботнету. На той час дослідники безпеки з команди Satori Intelligence компанії HUMAN заявляли, що Asocks є постачальником послуг резидентних проксі-серверів із бази в росії, який зазвичай рекламують кіберзлочинцям на хакерських форумах.
Продаж викрадених акаунтів
Загалом, проксі-сервіси не є злочинними — вони мають законні сценарії використання та різноманітні переваги для конфіденційності. Однак кіберзлочинці часто використовують їх для маскування своєї діяльності, і якщо провайдери не вживають заходів, то їх також вважають злочинними.
Dutch Authorities Take Down Botnet of 17 Million Infected Devices
byu/_cybersecurity_ inpwnhub
Те, чи є проксі-сервіс злочинним, також залежить від способу залучення пристроїв, оскільки в нелегальних мережах пристрої додаються за допомогою шкідливого ПЗ і без відома чи згоди їхніх власників.
Читайте также: Apple незабаром додасть у застосунок Wallet для iPhone 18 Pro дуже цікаву функцію
“Пристрої можуть стати частиною ботнету, коли вони стають доступними для зловмисників”, — зазначили в NCSC. — “Отримавши доступ, нападники можуть встановити шкідливе програмне забезпечення, яке дозволяє керувати пристроєм віддалено. Це дає змогу пристрою стати частиною мережі, що використовується для кіберзлочинної діяльності”.
Тому найкращий спосіб захиститися від атак ботнетів — підтримувати ваші пристрої в оновленому стані та захищати їх надійним паролем.
Чому резидентні проксі Asocks були настільки небезпечними
Як пояснює Національний центр кібербезпеки Нідерландів (NCSC), кіберзлочинці активно купували доступ до цієї мережі для проведення DDoS-атак, масового розсилання спаму, брутфорсу (підбору паролів), крадіжки облікових даних та розповсюдження шкідливого ПЗ.
“Оскільки система Asocks використовувала IP-адреси реальних, нічого не підозрюючих громадян, захисним системам та вебсайтам було вкрай важко виявити або заблокувати такий шкідливий трафік”, — зауважує портал Help Net Security.
Для систем безпеки ці запити виглядали як дії звичайних клієнтів або працівників компаній, що дозволяло хакерам легко обходити географічні обмеження та системи захисту дата-центрів.
Масштаб та деталі ліквідації
Розслідування розпочалося після того, як незалежний дослідник помітив аномальну активність і передав дані до NCSC. Зловмисники роками вибудовували цю інфраструктуру, заражаючи не лише комп’ютери та смартфони, а й роутери та IoT-пристрої (“розумний” дім). Усі 200 керуючих серверів фізично знаходилися в легальних європейських дата-центрах Нідерландів, що допомагало хакерам маскувати злочинний трафік під легітимний обмін даними.
Читайте также: Гічкок повертається: його “Птахи” полетять на телебачення як міні-серіал
Джерело: TechRadar
