Международная операция уничтожает российский ботнет RSOCKS

Управляемый Россией ботнет, известный как RSOCKS, был закрыт Министерством юстиции США совместно с партнерами по правоохранительным органам в Германии, Нидерландах и Великобритании. Считается, что он скомпрометировал миллионы компьютеров и других устройств по всему миру.

Согласно заявлению прокуратуры США в Южном округе Калифорнии, ботнет RSOCKS функционировал как служба IP-прокси, но вместо того, чтобы предлагать законные IP-адреса, арендованные у интернет-провайдеров, он предоставлял преступникам доступ к IP-адресам устройств, которые были скомпрометированы вредоносным ПО.

Похоже, что изначально RSOCKS был нацелен на различные устройства Интернета вещей (IoT), такие как промышленные системы управления, маршрутизаторы, устройства потоковой передачи аудио / видео и различные устройства, подключенные к Интернету, прежде чем распространиться на другие конечные точки, такие как устройства Android и компьютерные системы.

Министерство юстиции заявило, что операторам ботнета RSOCKS удалось скомпрометировать целевые устройства, просто проводя атаки методом перебора, а не используя какие-либо уязвимости в безопасности программного обеспечения.

Эксперты и аналитики по безопасности уже много лет предупреждают об угрозе, исходящей от устройств Интернетавещей, особенно тех, которые нацелены на потребителей, которые вряд ли знают или заботятся о настройках безопасности или о скорейшем применении обновлений программного обеспечения, хотя даже крупные корпорации, как известно, тоже проявляют небрежность.

По данным Министерства юстиции, киберпреступники, которые хотели использовать платформу RSOCKS, могли просто получить доступ к интернет-магазину, который позволял им платить за доступ к пулу прокси-серверов в течение определенного периода времени, при этом цены варьировались от 30 долларов в день за доступ к 2000 прокси-серверам до 200 долларов в день за доступ к90 000 прокси.

На веб-сайте RSOCKS теперь есть заявление, в котором говорится, что сайт был захвачен ФБР в соответствии с ордером на арест, полученным Министерством юстиции и прокуратурой США, но архивная копия веб-сайта, доступная в интернет-архиве Wayback Machine, показывает, что он действительно выглядел как еще одна витрина прокси-сервиса.

Министерство юстиции считает, что пользователи RSOCKS осуществляли различные незаконные действия, в том числе атаки на службы аутентификации посредством вброса учетных данных или отправки вредоносной электронной почты, такой как фишинговые сообщения.

Похоже, что следователи ФБР использовали простую тактику покупки доступа к RSOCKS, чтобы проникнуть внутрь и идентифицировать его внутреннюю инфраструктуру и его жертв. Первоначальная операция под прикрытием была проведена еще в 2017 году и выявила около 325 000 скомпрометированных устройств по всему миру.

По данным Министерства юстиции, жертвами ботнета RSOCKS стали ряд крупных государственных и частных организаций, в том числе университет, отель, телестудия и производитель электроники, а также домашние предприятия и многочисленные частные лица.

Автор: Шахулов Никита