Министерството на правосъдието на САЩ обяви прекъсването на руския злонамерен ботнет RSocks, използван за отвличане на десетки милиони компютри, смартфони с Android и IoT  устройства по целия свят за използване като прокси сървъри.

Операцията на правоприлагащите органи включи ФБР и полицейските сили в Германия, Холандия и Обединеното кралство, където ботнетът поддържаше  своята инфраструктура.

Ботнетът е рояк от устройства, които бандите могат да управляват дистанционно, за да изпълняват различни задачи, включително DDoS атаки, крипто копаене и внедряване на допълнителен зловреден софтуер.

В случая с RSocks, ботнетът беше използван за преобразуване на домашни компютри в прокси сървъри, позволявайки на клиентите на ботнета да ги използват за злонамерена дейност или да изглеждат като идващи от домашен IP адрес.

Типичните сценарии на използване на тези услуги включват операции за фишинг, извличане на идентификационни данни, опити за превземане на акаунти и т.н. В допълнение, използването на прокси услуга затруднява проследяването на заплахите от правоприлагащите органи, особено когато тези IP адреси принадлежат на хора, които не знаят, че техните устройства са завладяни.

Групировката беше много известна с използването на ботове за пазаруване, като ботове, които се възползват от домашни IP адреси, които обикновено не са забранени от онлайн търговците на дребно.

Под прикритие

Агентите на ФБР са започнали да картографират инфраструктурата на RSocks в операция под прикритие, като за целта  закупиха от групата  достъп до голям брой прокси сървъри през 2017г.

Според Министерството на правосъдието на Съединените щати, цената за достъп до прокси пулове на RSocks варира от $30 на ден за 2000 прокси сървъра до $200 на ден за 90 000 прокси сървъра.

По това време следователите идентифицираха 325 000 компрометирани устройства, много от които се намират в Съединените щати. Твърди се, че RSocks е компрометирала тези устройства чрез брут форс атаки и инсталиране на софтуер на взломените компютри, за да ги превърне в прокси сървъри.

„Няколко големи публични и частни субекти са били жертви на ботнета RSocks, включително университет, хотел, телевизионно студио и производител на електроника, както и домашни фирми и физически лица“,се казва в съобщението на DOJ.

„Три от жертвите дали съгласието си на  следователите да заменят компрометираните им устройства с контролирани от правителството компютри (т.е. honeypots) и впоследствие и трите бяха компрометирани от RSocks.

Въпреки че  RSocks беше сериозно ударена в резултат на тази международна операция на правоприлагащите органи, този път не бяха обявени арести.

Ботнет заплаха

Ботнет мрежите са постоянна и променяща формата си заплаха за лошо защитени устройства като рутери и други свързани с интернет „интелигентни“ IoT устройства, които често се пренебрегват и се оставят да работят без надзор за продължителни периоди от време.

За да защитят IoT устройствата си, собствениците трябва винаги да променят паролата на администратора по подразбиране на нещо по-силно, което е трудно за пробиване с брут форс атака, да прилагат най-новите налични актуализации на фърмуера и да настроят отделна мрежа за IoT, като по този начин ги изолират от критичните устройства.