Международная операция уничтожает российский ботнет RSOCKS

17 июня, 202219 июня, 2022 Безопасность, Ботнет, Интернет, Министерство юстиции Соединенных Штатов, Россия, ФБР

Управляемый Россией ботнет, известный как RSOCKS, был закрыт Министерством юстиции США совместно с партнерами по правоохранительным органам в Германии, Нидерландах и Великобритании. Считается, что он скомпрометировал миллионы компьютеров и других устройств по всему миру.

Согласно заявлению прокуратуры США в Южном округе Калифорнии, ботнет RSOCKS функционировал как служба IP-прокси, но вместо того, чтобы предлагать законные IP-адреса, арендованные у интернет-провайдеров, он предоставлял преступникам доступ к IP-адресам устройств, которые были скомпрометированы вредоносным ПО.

Похоже, что изначально RSOCKS был нацелен на различные устройства Интернета вещей (IoT), такие как промышленные системы управления, маршрутизаторы, устройства потоковой передачи аудио / видео и различные устройства, подключенные к Интернету, прежде чем распространиться на другие конечные точки, такие как устройства Android и компьютерные системы.

Министерство юстиции заявило, что операторам ботнета RSOCKS удалось скомпрометировать целевые устройства, просто проводя атаки методом перебора, а не используя какие-либо уязвимости в безопасности программного обеспечения.

Эксперты и аналитики по безопасности уже много лет предупреждают об угрозе, исходящей от устройств Интернетавещей, особенно тех, которые нацелены на потребителей, которые вряд ли знают или заботятся о настройках безопасности или о скорейшем применении обновлений программного обеспечения, хотя даже крупные корпорации, как известно, тоже проявляют небрежность.

По данным Министерства юстиции, киберпреступники, которые хотели использовать платформу RSOCKS, могли просто получить доступ к интернет-магазину, который позволял им платить за доступ к пулу прокси-серверов в течение определенного периода времени, при этом цены варьировались от 30 долларов в день за доступ к 2000 прокси-серверам до 200 долларов в день за доступ к90 000 прокси.

На веб-сайте RSOCKS теперь есть заявление, в котором говорится, что сайт был захвачен ФБР в соответствии с ордером на арест, полученным Министерством юстиции и прокуратурой США, но архивная копия веб-сайта, доступная в интернет-архиве Wayback Machine, показывает, что он действительно выглядел как еще одна витрина прокси-сервиса.

Министерство юстиции считает, что пользователи RSOCKS осуществляли различные незаконные действия, в том числе атаки на службы аутентификации посредством вброса учетных данных или отправки вредоносной электронной почты, такой как фишинговые сообщения.

Похоже, что следователи ФБР использовали простую тактику покупки доступа к RSOCKS, чтобы проникнуть внутрь и идентифицировать его внутреннюю инфраструктуру и его жертв. Первоначальная операция под прикрытием была проведена еще в 2017 году и выявила около 325 000 скомпрометированных устройств по всему миру.

По данным Министерства юстиции, жертвами ботнета RSOCKS стали ряд крупных государственных и частных организаций, в том числе университет, отель, телестудия и производитель электроники, а также домашние предприятия и многочисленные частные лица.

Автор: Шахулов Никита