Минюст США при участии немецких, нидерландских и британских правоохранителей ликвидировал инфраструктуру RSOCKS – созданного российскими киберпреступниками ботнета, причастного ко взлому миллионов электронных устройств и ПК по всей планете. Об этом сообщается на сайте американского ведомства.
Подробности
Ботнет – это группа дистанционно вскрытых устройств, подключенных к Интернету, которые управляются без ведома владельцев и обычно используются в злонамеренных целях. Каждому устройству, подключенному к Интернету, присваивается адрес Интернет-протокола (IP).
Ботнет RSOCKS, управляемый российскими киберпреступниками, состоял из миллионов взломанных устройств по всему миру. Изначально он был нацелен на устройства Интернета вещей (IoT). IoT включает в себя широкий спектр устройств, в том числе промышленные системы управления, часы, маршрутизаторы, устройства потоковой передачи аудио/видео, “умные” замки и пр., которые подключены к Интернету и могут обмениваться данными через него. Ботнет RSOCKS расширился и стал поражать дополнительные типы устройств, включая устройства на базе Android и обычные компьютеры.
“Ботнет RSOCKS скомпрометировал миллионы устройств во всех регионах планеты”, – заявил прокурор США Рэнди Гроссман.
Законный прокси-сервис предоставляет IP-адреса своим клиентам за определенную плату. Как правило, прокси-сервис предоставляет доступ к IP-адресам, которые он арендует у интернет-провайдеров (ISP). Вместо того, чтобы предлагать прокси-сервисы, арендованные RSOCKS, ботнет предлагал своим клиентам доступ к IP-адресам, присвоенным ранее взломанным устройствам. Владельцы этих девайсов не давали оператору(-ам) RSOCKS полномочий на доступ к своим устройствам для использования их IP-адресов и маршрутизации интернет-трафика.
Киберпреступник, желающий воспользоваться платформой RSOCKS, мог использовать интернет-браузер для перехода на т.н. “веб-витрину” (т.е. публичный веб-сайт, позволяющий пользователям приобрести доступ к ботнету). Благодаря этой “витрине”, клиент мог оплатить аренду доступа к пулу прокси-серверов на определенный ежедневный, еженедельный или ежемесячный период времени. Стоимость доступа к пулу прокси RSOCKS варьировалась от $30 в день за доступ к 2 тысячам прокси до $200 в день за доступ к 90 тысячам прокси.
После покупки клиент мог загрузить список IP-адресов и портов, связанных с одним или несколькими внутренними серверами ботнета, и направлять вредоносный интернет-трафик через скомпрометированные устройства жертв для маскировки или сокрытия первоисточника трафика. Предполагается, что пользователи таких прокси-сервисов осуществляли масштабные атаки на службы учетных данных, анонимизируя себя при доступе к взломанным аккаунтам соцсетей и т.д.
Как утверждается в ордере, следователи ФБР использовали “закупки под прикрытием” для получения доступа к ботнету RSOCKS с целью получения информации о его внутренней инфраструктуре и жертвах. Первая такая закупка в 2017 году позволила выявить около 325 000 скомпрометированных устройств жертв по всему миру, связанными с многочисленными устройствами из округа Сан-Диего.
Проанализировав устройства жертв, следователи установили, что ботнет RSOCKS поражал устройства жертв путем “проведения атак грубой силы”. Внутренние серверы RSOCKS поддерживали постоянное соединение со взломанным устройством.
В числе жертв ботнета RSOCKS – миллионы граждан, крупные государственные и частные компании (сети отелей, телестудии, компании по производству электроники). В трех из этих мест с согласия жертв следователи заменили взломанные устройства на компьютеры, контролируемые правительством (т.е. “медпоты”), и все три были впоследствии взломаны RSOCKS. ФБР выявило по меньшей мере шесть жертв в Сан-Диего.
Это дело было расследовано ФБР и ведется помощником прокурора США Джонатаном И. Шапиро из Южного округа Калифорнии и Райаном К.Дж. Дики, старшим юристом секции компьютерных преступлений и интеллектуальной собственности уголовного отдела Министерства юстиции, отмечается в ведомственном отчете.
