Operasi penegakan hukum gabungan yang dilakukan oleh Belanda dan otoritas AS telah membongkar jaringan proxy kriminal yang didukung oleh ribuan Internet of Things (IoT) dan perangkat akhir kehidupan (EOL), meminta mereka ke dalam botnet untuk memberikan anonimitas kepada aktor jahat.
In conjunction with the domain seizure, Russian nationals, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36, and Dmitriy Rubtsov, 38, a Kazakhstani national, have been charged by the US Department of Justice (DoJ) for operating, maintaining, and profiting from the Layanan Proksi.
DOJ mencatat bahwa pengguna membayar biaya berlangganan bulanan, mulai dari $ 9,95 hingga $ 110 per bulan, menjaring aktor ancaman lebih dari $ 46 juta dengan menjual akses ke router yang terinfeksi. Layanan ini diyakini telah tersedia sejak 2004.
Ia juga mengatakan Biro Investigasi Federal AS (FBI) menemukan router bisnis dan perumahan di Oklahoma yang telah diretas untuk menginstal malware tanpa sepengetahuan pengguna.
“Rata-rata mingguan dari 1.000 bot unik yang bersentuhan dengan infrastruktur komando-dan-kontrol (C2), yang terletak di Turki,” kata Lumen Technologies Black Lotus Labs dalam a Laporan dibagikan dengan Hacker News. “Lebih dari setengah dari para korban ini berada di Amerika Serikat, dengan Kanada dan Ekuador menunjukkan dua total tertinggi berikutnya.”
Layanan yang dimaksud – anyproxy.net dan 5socks.net – telah terganggu sebagai bagian dari upaya dengan nama kode Operasi Moonlander. Lumen mengatakan kepada Hacker News bahwa kedua platform tersebut menunjuk ke “botnet yang sama, menjual di bawah dua layanan bernama yang berbeda.”
Snapshot yang ditangkap di arsip internet menunjukkan bahwa 5socks.net mengiklankan “lebih dari 7.000 proksi online setiap hari” yang mencakup berbagai negara dan negara bagian AS, memungkinkan aktor ancaman untuk secara anonim melakukan berbagai kegiatan ilegal dengan imbalan pembayaran cryptocurrency.
Lumen mengatakan perangkat yang dikompromikan terinfeksi malware yang disebut mereka, yang juga memicu layanan proxy kriminal lain yang disebut sebagai tanpa wajah. Perusahaan juga telah mengambil langkah mengganggu infrastruktur dengan merutekan semua lalu lintas ke dan dari titik kontrol yang diketahui.
“Kedua layanan pada dasarnya adalah kumpulan proxy dan C2 yang sama, dan selain malware itu, mereka menggunakan berbagai eksploitasi yang berguna terhadap perangkat EOL,” kata Lumen kepada Hacker News. “Namun layanan proksi itu sendiri tidak terkait [to Faceless]. “
Diduga bahwa operator botnet mengandalkan eksploitasi yang diketahui untuk melanggar perangkat EOL dan mengikat mereka ke dalam botnet proxy. Bot yang baru ditambahkan telah ditemukan untuk menghubungi infrastruktur C2 berbasis Turki yang terdiri dari lima server, di mana empat dirancang untuk berkomunikasi dengan korban yang terinfeksi di pelabuhan 80.
“Salah satu dari 5 server ini menggunakan UDP di Port 1443 untuk menerima lalu lintas korban, sementara tidak mengirim imbalan apa pun,” kata perusahaan cybersecurity. “Kami menduga server ini digunakan untuk menyimpan informasi dari korban mereka.”
Dalam penasihat yang dikeluarkan oleh FBI Kamis, agensi mengatakan aktor ancaman di balik botnet telah mengeksploitasi kerentanan keamanan yang diketahui dalam router yang terpapar Internet untuk menginstal malware yang memberikan akses jarak jauh yang terus-menerus.
FBI juga menunjukkan bahwa router EOL telah dikompromikan dengan varian malware mereka, memungkinkan aktor ancaman untuk menginstal perangkat lunak proxy pada perangkat dan membantu melakukan kejahatan dunia maya secara anonim. Themoon pertama kali didokumentasikan oleh Sans Technology Institute pada tahun 2014 dalam serangan yang menargetkan router Linksys.
“Themoon tidak memerlukan kata sandi untuk menginfeksi router; ini memindai port terbuka dan mengirimkan perintah ke skrip yang rentan,” kata FBI. “Malware menghubungi server perintah-dan-kontrol (C2) dan server C2 merespons dengan instruksi, yang mungkin termasuk menginstruksikan mesin yang terinfeksi untuk memindai router rentan lainnya untuk menyebarkan infeksi dan memperluas jaringan.”
Ketika pengguna membeli proxy, mereka menerima kombinasi IP dan port untuk koneksi. Sama seperti dalam kasus NSocks, layanan ini tidak memiliki otentikasi tambahan setelah diaktifkan, membuatnya matang untuk disalahgunakan. Telah ditemukan bahwa 5socks.net telah digunakan untuk melakukan penipuan iklan, DDOS dan serangan brute-force, dan mengeksploitasi data korban.
Untuk mengurangi risiko yang ditimbulkan oleh botnet proxy seperti itu, pengguna disarankan untuk secara reboot router secara teratur, menginstal pembaruan keamanan, mengubah kata sandi default, dan meningkatkan ke model yang lebih baru setelah mereka mencapai status EOL.
“Layanan proxy telah dan akan terus menghadirkan ancaman langsung terhadap keamanan internet karena mereka memungkinkan aktor jahat bersembunyi di balik IP perumahan yang tidak curiga, deteksi yang menyulitkan oleh alat pemantauan jaringan,” kata Lumen.
“Karena sejumlah besar perangkat akhir kehidupan tetap beredar, dan dunia terus mengadopsi perangkat di 'Internet of Things,' akan terus ada kumpulan target besar untuk aktor jahat.”
