Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   ФБР: злоумышленники используют старые роутеры для создания прокси-ботнетов (http://txgate.io:443/showthread.php?t=51297321)

WWW 05-26-2025 12:05 PM
<div id="post_message_790963">

Правоохранительные органы ликвидировали ботнет, который более 20 лет заражал маршрутизаторы. Ботнет поддерживал работу двух сервисов, предлагавших резидентные прокси — Anyproxy и 5socks.<br/>
<br/>
Министерство юстиции США <a href="https://www.justice.gov/usao-ndok/pr/botnet-dismantled-international-operation-russian-and-kazakhstani-administrators" target="_blank">сообщает</a>, что предъявило обвинения трем гражданам России (Алексею Викторовичу Черткову, Кириллу Владимировичу Морозову и Александру Александровичу Шишкину) и гражданину Казахстана (Дмитрию Рубцову), которых подозревают в причастности к эксплуатации, поддержке и извлечению прибыли из этих двух незаконных сервисов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511957/5Socks_seizure_banner.jpg"/><br/>
<br/>
Операция по ликвидации ботнета получила название Moonlander, и в ее рамках американские правоохранители сотрудничали с прокурорами и следователями из Национальной полиции и прокуратуры Нидерландов, Королевской полиции Таиланда, а также аналитиками Black Lotus Labs из компании Lumen Technologies.<br/>
<br/>
Согласно судебным документам, ликвидированный ботнет заражал малварью старые беспроводные роутеры по всему миру и был активен как минимум с 2004 года. Получив несанкционированный доступ к скомпрометированным устройствам, злоумышленники использовали их в качестве прокси, которые продавались на сайтах Anyproxy[.]net и 5socks[.]net. Эти домены управлялись компанией из Вирджинии и хостились на серверах по всему миру.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511957/Location_of_infected_routers.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Карта зараженных устройств

</td>
</tr>
</table>
</div>Стоимость ежемесячной подписки для пользователей сервисов составляла от 9,95 до 110 долларов в месяц в зависимости от запрашиваемых услуг.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В качестве оплаты операторы ботнета принимали криптовалюту. Пользователям разрешалось напрямую подключаться к прокси без аутентификации, что давало свободный доступ для широкого спектра различных злоумышленников, — рассказывают в <a href="http://blog.lumen.com/black-lotus-labs-helps-demolish-major-criminal-proxy-network/" target="_blank">Black Lotus Labs</a>. — Учитывая диапазон источников, лишь около 10% распознаются как вредоносные в таких популярных инструментах, как VirusTotal. Это означает, что злоумышленники успешно обходили средства сетевого мониторинга. Такие прокси предназначены для сокрытия различных незаконных действий, включая рекламное мошенничество, DDoS-атаки, брутфорс или эксплуатацию данных жертв».</font>
</td>
</tr>
</table>
</div>Сообщается, что упомянутые выше обвиняемые рекламировали свои сервисы, при этом упоминая более 7000 доступных резидентных прокси. Реклама встречалась на различных сайтах, в том числе используемых киберпреступниками. По данным правоохранителей, на продаже подписок операторы сервисов заработали более 46 млн долларов.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Такие резидентные прокси особенно полезны для хакеров, обеспечивая анонимность при совершении киберпреступлений. Резидентные IP-адреса, в отличие от коммерческих, обычно рассматриваются средствами кибербезопасности как вероятные источники легитимного трафика», — отмечается в обвинительном заключении.</font>
</td>
</tr>
</table>
</div>Стоит отметить, что за несколько дней до этого ФБР <a href="https://www.ic3.gov/CSA/2025/250507.pdf" target="_blank">предупредило</a>, что этот ботнет нацелен на старые маршрутизаторы и атакует их с помощью вариации малвари TheMoon.<br/>
<br/>
Правоохранители писали, что на взломанные устройства устанавливаются прокси, которые впоследствии используются для уклонения от обнаружения во время атак на кражу криптовалюты и других незаконных операций.<br/>
<br/>
ФБР сообщало, что, как правило, ботнет атакует роутеры Linksys и Cisco, включая:<ul><li>Linksys E1200, E2500, E1000, E4200, E1500, E3000, E3200, E1550;</li>
</ul><ul><li>Linksys WRT320N, WRT310N, WRT610N;</li>
</ul><ul><li>Cisco M10;</li>
</ul><ul><li>Ericsson Cradlepoint E100.</li>
</ul><br/>
<a href="https://xakep.ru/2025/05/12/anyproxy-5socks/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 02:12 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.