Il Dipartimento di Giustizia degli Stati Uniti ha comunicato il sequestro di due siti utilizzati per vendere l’accesso a proxy residenziali sfruttati da una botnet. Al termine della Operation Moonlander, le autorità di Stati Uniti (FBI) e Olanda (polizia nazionale) hanno individuato i gestori dei siti (tre russi e un kazako). Il supporto tecnico è stato fornito dai Black Lotus Labs di Lumen.
Oltre 7.000 router infettati
I siti sequestrati permettevano ai cybercriminali di offrire i servizi “rent-as-a proxy” Anyproxy e 5Socks. In pratica, gli autori degli attacchi potevano noleggiare un’infrastruttura composta da oltre 7.000 router (presenti anche in Italia), pagando una cifra compresa tra 9,95 e 110 dollari/mese.
I router sono vecchi modelli wireless non più aggiornati. I cybercriminali hanno sfruttato diverse vulnerabilità per accedere ai dispositivi e trasformarli in proxy residenziali. Il traffico generato dalla botnet (spesso per effettuare attacchi DDoS) proviene da indirizzi IP legittimi e non viene bloccato dalle protezioni di rete. Gli esperti di Lumen sottolineano che solo il 10% degli antivirus ha rilevato il malware installato sui router.
I due siti sequestrati erano gestiti da un’azienda con sede in Virginia, ma i server erano forniti dal provider russo JCS Fedora Communications. Il servizio 5Socks era attivo da oltre 20 anni. Il Dipartimento di Giustizia ha stimato profitti illeciti per oltre 46 milioni di dollari (vendita degli accessi ai router).
I gestori dei siti sono Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov, Aleksandr Aleksandrovich Shishkin e Dmitriy Rubtsov. La botnet è stata smantellata dalle forze dell’ordine, ma precedenti casi hanno dimostrato che potrebbe essere riattivata in futuro. Gli utenti, soprattutto quelli aziendali, non dovrebbero più utilizzare router abbandonati dai rispettivi produttori.
Ti potrebbe interessare
12 mag 2025