Міжнародна операція правоохоронців призвела до ліквідації кіберзлочинної платформи SocksEscort, яка використовувала сотні тисяч зламаних домашніх роутерів для приховування атак у мережі. За даними Міністерства юстиції США, сервіс надавав злочинцям доступ до приблизно 369 000 пристроїв, перетворюючи їх на інфраструктуру для шахрайства, атак і розповсюдження шкідливого трафіку. У результаті операції було конфісковано десятки серверів і доменів, а також заморожено близько 3,5 мільйона доларів у криптовалюті.
Платформа SocksEscort позиціонувала себе як мережа «резидентських проксі», що дозволяла користувачам маскувати свою реальну IP-адресу за звичайними домашніми інтернет-підключеннями.
Фактично сервіс продавав доступ до зламаних пристроїв, через які проходив шкідливий трафік.
Пакети доступу до мережі коштували:
За словами правоохоронців, клієнти платформи використовували ці проксі для:
У Міністерстві юстиції США пояснили:
“Cybercriminals used the access they purchased on SocksEscort to conceal their true originating IP addresses and locations.”
Іншими словами, злочинці могли проводити атаки так, ніби вони здійснювалися з домашнього інтернету звичайних користувачів. За оцінками слідчих, ботнет SocksEscort заражав пристрої з 2020 року.
Основною мішенню були домашні Wi-Fi роутери та IoT-пристрої. Для зараження використовувалося шкідливе ПЗ AVrecon, яке експлуатувало відомі, але не закриті вразливості. Загалом було атаковано приблизно 1200 моделей пристроїв, зокрема обладнання таких виробників:
Cisco
D-Link
Hikvision
MicroTik
Netgear
TP-Link
Zyxel
Правоохоронці також повідомили, що до ліквідації сервісу в мережі SocksEscort залишалося близько 8000 активних пристроїв, з яких 2500 знаходилися у США. Злочинна інфраструктура активно використовувалася для масштабних фінансових злочинів. Серед відомих випадків:
клієнт криптобіржі у Нью-Йорку втратив 1 млн доларів
виробнича компанія в Пенсильванії втратила 700 000 доларів
військовослужбовці США втратили 100 000 доларів через шахрайство з картками MILITARY STAR
Загалом сервіс заробив понад 5 мільйонів євро, приймаючи оплату виключно в криптовалюті. Як зазначила директор Europol Катрін Де Болле:
“Cybercrime thrives on anonymity. Proxy services like ‘SocksEscort’ provide criminals with the digital cover they need to launch attacks.”
ФБР зазначає, що власники пристроїв часто навіть не підозрюють, що їхній інтернет використовується злочинцями. Основні причини зараження:
використання старих роутерів без оновлень безпеки
відкриті вразливості у прошивках
встановлення піратського ПЗ
використання безкоштовних VPN-додатків
покупка дешевих IoT-пристроїв з уже встановленим шкідливим кодом
Іноді користувачі самі погоджуються брати участь у проксі-мережах, коли встановлюють додатки, що пропонують плату за використання їхнього інтернет-каналу. Ліквідація SocksEscort стала однією з найбільших операцій проти мереж резидентських проксі за останні роки. Однак експерти попереджають, що проблема залишається актуальною: мільйони застарілих роутерів по всьому світу залишаються легкою мішенню для ботнетів. Правоохоронці радять регулярно оновлювати прошивку мережевих пристроїв, вимикати віддалений доступ до роутерів та замінювати обладнання, яке більше не отримує оновлень безпеки.
