Операция Moonlander: ликвидация Anyproxy и 5Socks

[schvili]

Правоохранительные органы ликвидировали сложный ботнет, использовавший скомпрометированные роутеры для создания сетей резидентных прокси, которые затем продавались через сайты Anyproxy.net и 5socks.net по подписке стоимостью от $9.95 до $110 в месяц. Эти сервисы действовавовали с 2004 года.



Согласно обвинительному заключению, операторы ботнета - трое граждан России (Алексей Викторович Чертков, Кирилл Владимирович Морозов, Александр Александрович Шишкин) и один гражданин Казахстана (Дмитрий Рубцов) - заработали более $46 млн, продавая доступ к более чем 7,000 прокси.



Сети Anyproxy и 5Socks базировались на ботнете, который заразил тысячи устаревших моделей роутеров по всему миру, эксплуатируя известные уязвимости в EoL-устройствах, не получающих обновления безопасности от производителей. Такие прокси были особенно ценны для маскировки вредоносного трафика, поскольку IP-адреса резидентных сетей часто воспринимаются системами безопасности как легитимные.



Малварь, предположительно вариант TheMoon, взаимодействовала с серверами управления и контроля (C2) через двусторонний handshake. Инфраструктура C2 обеспечивала регулярные проверки заражённых роутеров, открытие портов для работы прокси и управление маршрутизацией трафика.



Anyproxy и 5Socks размещались на серверах, управляемых российской хостинговой компанией JCS Fedora Communications. Домены Anyproxy.net и 5socks.net были зарегистрированы с использованием поддельных данных, что затрудняло атрибуцию. Сервисы рекламировались на киберпреступных форумах и в социальных сетях, продвигая возможности резидентных прокси. Клиенты могли приобретать доступ к конкретным IP-адресам и портам, которые, однако, имели слабую аутентификацию, что делало их уязвимыми для злоупотребления другими участниками.



Операция Moonlander была завершена 9 мая 2025 года под руководством Министерства юстиции США при поддержке киберподразделения ФБР в Оклахома-Сити, Национальной полиции Нидерландов, Прокуратуры Нидерландов и Королевской полиции Таиланда. Лаборатория Black Lotus Labs компании Lumen Technologies предоставила важный технический анализ, отслеживая узлы C2 и архитектуру ботнета.



ФБР получило ордера на изъятие Anyproxy.net и 5socks.net, заменив их содержимое уведомлением Министерства юстиции. Всем четырём фигурантам были предъявлены обвинения в сговоре и нанесении ущерба защищённым компьютерам. В обвинительном заключении описаны их роли в поиске уязвимых роутеров, внедрении малвари и управлении продажами прокси. Федералы использовали опыт предыдущих ликвидаций, таких как ботнет 911 S5 в 2024 году.