Мін’юст США за участю німецьких, нідерландських та британських правоохоронців ліквідував інфраструктуру RSOCKS – створеного російськими кіберзлочинцями ботнету, причетного до злому мільйонів електронних пристроїв та ПК по всій планеті. Про це повідомлено на сайті американського відомства.
Подробиці
Ботнет – це група дистанційно розкритих пристроїв, підключених до Інтернету, які управляються без відома власників і зазвичай використовуються з метою хакерських атак. Кожному пристрою, підключеному до Інтернету, надається адреса Інтернет-протоколу (IP).
Ботнет RSOCKS, керований російськими кіберзлочинцями, складався з мільйонів зламаних пристроїв у всьому світі. Спочатку він був орієнтований на пристрої Інтернету речей (IoT). IoT включає широкий спектр пристроїв, у тому числі промислові системи управління, годинники, маршрутизатори, пристрої потокової передачі аудіо/відео, “розумні” замки та ін., які підключені до Інтернету і можуть обмінюватися даними через нього. Ботнет RSOCKS розширився і став уражати додаткові типи пристроїв, включаючи пристрої на базі Android та звичайні комп’ютери.
“Ботнет RSOCKS скомпрометував мільйони пристроїв у всіх регіонах планети”, – заявив прокурор США Ренді Гроссман.
Законний проксі-сервіс надає IP адреси своїм клієнтам за певну плату. Як правило, проксі-сервіс надає доступ до IP-адрес, які він орендує у інтернет-провайдерів (ISP). Замість того, щоб пропонувати проксі-сервіси, орендовані RSOCKS, ботнет пропонував своїм клієнтам доступ до IP-адрес, присвоєних раніше зламаним пристроям. Власники цих девайсів не давали оператору(ам) RSOCKS повноважень на доступ до своїх пристроїв для використання їх IP-адрес та маршрутизації інтернет-трафіку.
Кіберзлочинець, який бажає скористатися платформою RSOCKS, міг використовувати інтернет-браузер для переходу на т.зв. “Веб-вітрину” (тобто публічний сайт, що дозволяє користувачам придбати доступ до ботнету). Завдяки цій “вітрині”, клієнт міг сплатити оренду доступу до пулу проксі-серверів на певний щоденний, щотижневий або щомісячний період часу. Вартість доступу до пулу проксі RSOCKS варіювалася від $30 на день за доступ до 2 тисяч проксі до $200 на день за доступ до 90 тисяч проксі.
Після покупки клієнт міг завантажити список IP-адрес та портів, пов’язаних з одним або декількома внутрішніми серверами ботнета, і спрямовувати шкідливий інтернет-трафік через скомпрометовані пристрої жертв для маскування або приховування першоджерела трафіку. Передбачається, що користувачі таких проксі-сервісів здійснювали масштабні атаки на служби облікових даних, анонімуючи себе при доступі до зламаних облікових записів соцмереж тощо.
Як стверджується в ордері, слідчі ФБР використовували “закупівлі під прикриттям” для отримання доступу до ботнету RSOCKS з метою отримання інформації про його внутрішню інфраструктуру та жертви. Перша така закупівля у 2017 році дозволила виявити близько 325 000 скомпрометованих пристроїв жертв по всьому світу, пов’язаних із численними пристроями із округу Сан-Дієго.
Проаналізувавши пристрої жертв, слідчі встановили, що ботнет RSOCKS вражав пристрої жертв шляхом проведення атак “грубої сили”. Внутрішні сервери RSOCKS підтримували постійне з’єднання зі зламаним пристроєм.
Серед жертв ботнету RSOCKS – мільйони громадян, великі державні та приватні компанії (мережі готелів, телестудії, компанії з виробництва електроніки). У трьох із цих місць за згодою жертв слідчі замінили зламані пристрої на комп’ютери, контрольовані урядом (тобто “медпоти”), і всі три були згодом зламані RSOCKS. ФБР виявило щонайменше шість жертв у Сан-Дієго.
Ця справа була розслідувана ФБР і ведеться помічником прокурора США Джонатаном І. Шапіро з Південного округу Каліфорнії та Райаном К.Дж. Дікі, старшим юристом секції комп’ютерних злочинів та інтелектуальної власності кримінального відділу Міністерства юстиції, наголошується у відомчому звіті.
