Af Eskil Sørensen, 23/06/22
Amerikanske myndigheder har oplyst, at de har fjernet et botnet drevet af russiske cyberkriminelle.
Det skriver Security Week og en række andre medier på baggrund af en pressemeddelelse fra det amerikanske justitsministerium.
Botnettet havde angiveligt millioner af enheder verden over på samvittigheden og var oprindeligt rettet mod Internet of Things (IoT)-enheder - inklusive industrielle kontrolsystemer, routere, indholdsstreaming-enheder og forskellige smarte enheder - men udvidede senere til også at kompromittere Android-enheder og konventionelle computere.
Formålet med botnettet var at misbruge IP-adresserne på de kompromitterede enheder til at omdirigere internettrafik til betalende kunder og dermed give dem mulighed for at skjule deres rigtige IP-adresser.
Fuldmagter til leje
Almindeligvis, skriver Security Week, leaser legitime proxy-tjenester IP-adresser fra internetudbydere og leverer derefter disse IP-adresser til deres kunder mod et gebyr. RSOCKS-botnettet tilbød angiveligt adgang til IP-adresserne på hackede enheder uden ejernes tilladelse eller viden. RSOCKS tilbød sine ydelser via en webbaseret butik, hvor cyberkriminelle kunne leje adgang til fuldmagter for en bestemt tidsperiode. Prisen var 30 dollar pr. dag for adgang til 2.000 proxyer, men den kunne gå også op til 200 dollar pr. dag for adgang til 90.000 proxyer.
Efter købet fik RSOCKS kunder en liste over IP-adresser og porte til botnettets backend-servere og kunne begynde at dirigere deres internettrafik gennem de kompromitterede enheder.
Kunderne på proxyservere såsom RSOCKS-botnettet lancerede sandsynligvis phishing-kampagner i stor skala og angreb på legitimationsoplysninger mod autentificeringstjenester, og de skjulte deres rigtige IP-adresser, når de fik adgang til kompromitterede konti på sociale medier, skriver justitsministeriet i pressemeddelelsen.
Under cover
Afsløringen af de cyberkriminelle er foregået i bedste krimi-stil. Efterforskere fra FBI foretog således et undercover-køb for at identificere RSOCKS-botnettets infrastruktur. I tre tilfælde erstattede efterforskerne - med ofrenes samtykke - de kompromitterede systemer med egne enheder, der fungerede som honeypots. Alle tre blev efterfølgende kompromitteret af RSOCKS. Undersøgelsen afslørede også, at RSOCKS-botnettet ud over små og mellemstore virksomheder og enkeltpersoner også havde kompromitteret store offentlige og private enheder, herunder et hotel, et universitet, en elektronikproducent og et tv-studie.
De amerikanske myndigheder har arbejdet sammen med myndigheder i Tyskland, Holland og Storbritannien for at fjerne botnettet.
Links:
https://www.justice.gov/usao-sdca/pr/russian-botnet-disrupted-international-cyber-operation
https://www.bleepingcomputer.com/news/security/russian-rsocks-botnet-disrupted-after-hacking-millions-of-devices/
https://therecord.media/rsocks-botnet/
https://www.cyberscoop.com/fbi-botnet-rsocks-doj-cybercrime/
https://www.securityweek.com/law-enforcement-dismantle-infrastructure-russian-rsocks-botnet
https://www.theregister.com/2022/06/17/rsocks_russia_botnet/>
https://thehackernews.com/2022/06/authorities-shut-down-russian-rsocks.html>
https://www.bankinfosecurity.com/us-government-allies-disrupt-massive-russian-botnet-a-19397>
https://securityaffairs.co/wordpress/132403/cyber-crime/police-dismantled-rsocks-bitnet.html>