Ugašen SocksEscort: Ogromna mreža hakiranih routera korištena za milijunske prijevare
Međunarodna policijska operacija ugasila je botnet SocksEscort koji je kompromitirao stotine tisuća kućnih i poslovnih routera diljem svijeta za izvođenje kibernetičkih napada i financijskih prijevara
Globalna koalicija policijskih agencija ugasila je u srijedu botnet sačinjen od desetaka tisuća hakiranih kućnih i malih poslovnih routera. Ova velika međunarodna operacija ciljala je servis poznat kao SocksEscort, koji je nudio plaćene proxy usluge izgrađene na mreži kompromitiranih uređaja.
Prema priopćenju koje je u četvrtak objavilo američko Ministarstvo pravosuđa (DOJ), kriminalci su koristili SocksEscort za izvršenje raznih kaznenih djela, poput hakiranja bankovnih i kripto računa žrtava te podnošenja lažnih zahtjeva za osiguranje u slučaju nezaposlenosti. Iz ministarstva su naglasili kako su zločini koje je omogućio SocksEscort koštali američke građane milijune dolara. Službena stranica SocksEscorta sada prikazuje obavijest o zapljeni u sklopu policijske akcije.
Europol je u svom priopćenju potvrdio kako je botnet SocksEscort navodno kompromitirao više od 369.000 routera i IoT uređaja u 163 zemlje, te da su zaraženi uređaji sada "isključeni s usluge". Ova policijska agencija dodala je da je SocksEscort korišten za olakšavanje ransomware i DDoS napada, kao i za distribuciju materijala koji prikazuje seksualno zlostavljanje djece (CSAM). Klijenti ovog kriminalnog servisa plaćali su licence za zlouporabu zaraženih uređaja, skrivajući svoje stvarne IP adrese kako bi se bavili raznim kriminalnim aktivnostima, a da vlasnici modema uopće nisu bili svjesni da se njihove IP adrese koriste u nezakonite svrhe.
Iza praćenja ove mreže stoji tvrtka za kibernetičku sigurnost Black Lotus Labs, koja je usko surađivala s policijskim agencijama na operaciji gašenja. Prema njihovim podacima, botnet je od prošlog siječnja bio sastavljen od oko 280.000 routera, a pokretao ga je malware nazvan AVRecon. "Ovaj botnet predstavljao je značajnu prijetnju jer se reklamirao isključivo kriminalcima", napisala je tvrtka u svojoj objavi. "Značajno je da se više od polovice njegovih žrtava nalazilo u Sjedinjenim Američkim Državama ili Ujedinjenom Kraljevstvu, što je napadačima omogućilo izvođenje vrlo ciljanih operacija."
Još 2023. godine, Black Lotus Labs nazvao je SockEscort "jednim od najvećih botneta koji ciljaju SOHO (small-office/home-office) routere u novijoj povijesti". U to je vrijeme novinar Brian Krebs izvijestio da je SocksEscort nastao još 2009. godine kao servis na ruskom jeziku koji je prodavao pristup tisućama hakiranih računala, što svjedoči o dugovječnosti i otpornosti ove kriminalne infrastrukture.
