Властите в Нидерландия съобщиха за мащабна операция срещу огромен ботнет, включващ около 17 милиона заразени устройства, използвани за кибератаки и други престъпни дейности.

Операцията е проведена съвместно от националната полиция и National Cyber Security Centre (NCSC), като в рамките на акцията са иззети над 200 сървъра, разположени при местен хостинг доставчик.

Какво представлява ботнетът

Според разследването компрометираната инфраструктура е управлявала:

• компютри
• таблети
• смартфони
• други интернет свързани устройства

Тези устройства са били използвани за:

• DDoS атаки
• проксиране на злонамерен трафик
• прикриване на киберпрестъпна активност
• криптомайнинг операции

От NCSC уточняват, че сървърите са били използвани за контрол над заразените устройства и координиране на атаките.

Връзка с Asocks

Макар властите официално да не назовават ботнета, местни медии свързват операцията с услугата Asocks.

Платформата се рекламира като „универсална proxy услуга“ с:

• над 7 милиона IP адреса
• присъствие в 150 локации
• повече от 100 000 клиенти

Asocks предлага:

• residential proxies
• mobile proxies
• corporate proxies

на цени между 5 и 15 долара месечно.

Съмнения за неволно участие на жертвите

Обичайно подобни proxy мрежи твърдят, че използват устройства на потребители, които доброволно споделят интернет трафик срещу възнаграждение.

В този случай обаче действията на нидерландските власти предполагат, че голяма част от устройствата вероятно са били компрометирани без знанието на собствениците им.

Това означава, че милиони потребители може да са участвали неволно в инфраструктура за киберпрестъпления.

Какво е ботнет

Ботнет представлява мрежа от заразени устройства, управлявани дистанционно от атакуващи.

Подобни инфраструктури често се използват за:

• масови DDoS атаки
• анонимизиране на трафик
• разпространение на зловреден софтуер
• криптовалутен майнинг
• кибершпионаж

Колкото по-голям е ботнетът, толкова по-сериозен капацитет за атаки има.

Препоръки към потребителите

Експертите препоръчват няколко основни мерки за защита на мрежови устройства:

• смяна на фабричните пароли
• използване на силни и уникални идентификационни данни
• инсталиране на последните firmware обновления
• изключване на remote administration функции, когато не са необходими
• наблюдение за необичайна мрежова активност

Особено уязвими остават домашните рутери, IoT устройства и слабо защитените мобилни системи.

Нарастващ проблем с proxy и residential мрежите

Случаят отново поставя въпроси около т.нар. residential proxy услуги, които все по-често попадат в сивата зона между легитимни услуги и киберпрестъпна инфраструктура.

Подобни мрежи се използват за:

• заобикаляне на географски ограничения
• скриване на реален произход на атаки
• автоматизирани измами
• масови scraping операции
• прикриване на malware трафик

Разследването показва, че голяма част от тази инфраструктура може да бъде изградена върху компрометирани потребителски устройства.