Una operación conjunta de la aplicación de la ley realizada por las autoridades holandesas y estadounidenses ha desmantelado una red de representación penal que funciona con miles de dispositivos infectados de Internet de las cosas (IoT) y al final de la vida (EOL), alistándolos en una botnet para proporcionar anonimato a los actores maliciosos.
En conjunto con la incautación del dominio, los nacionales rusos, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36 y Dmitriy Rubtsov, 38, Kazajhstani National, han sido cobrados por el unidad de honradez (do de honradez (DoJere, y, y lo que lleva a punta, y se produjera y se produjera por el Unidad de Probidad (DoJere, y lo que mantiene, y se produzca por el Unidad de Probidad, y se produzca, y se produjera, y se produjera por el Unidad de Probidad, y se produjeran, y se produjeron, y se produjeran, y se produjeron a Kazakhstani. Servicios proxy.
El Unidad de Probidad señaló que los usuarios pagaron una tarifa de suscripción mensual, que oscila entre $ 9.95 y $ 110 por mes, lo que obtuvo más de $ 46 millones vendiendo comunicación a los enrutadores infectados. Se cree que el servicio ha estado habitable desde 2004.
Igualmente dijo que la Oficina Federal de Investigación de los Estados Unidos (FBI) encontró enrutadores comerciales y residenciales en Oklahoma que habían sido pirateados para instalar malware sin el conocimiento de los usuarios.
“Un promedio semanal de 1,000 bots únicos en contacto con la infraestructura de comando y control (C2), ubicada en Turquía”, dijo Lumen Technologies Black Lotus Labs en un mensaje compartido con Hacker News. “Más de la medio de estas víctimas están en los Estados Unidos, con Canadá y Ecuador que muestran los próximos dos totales más altos”.
Los servicios en cuestión, AnyProxy.net y 5Socks.net, han sido interrumpidos como parte de un esfuerzo con el nombre de Operación de Operación Moonlander. Lumen le dijo a The Hacker News que ambas plataformas apuntan a la “misma botnet, que se vende bajo dos servicios con nombre diferentes”.
Las instantáneas capturadas en el Archivo de Internet muestran que 5Socks.net anunció “más de 7,000 representantes en partidura diariamente” que abarcan varios países y estados de los Estados Unidos, lo que permite a los actores de amenazas soportar a punta una amplia grado de actividades ilícitas a cambio de un cuota de criptomonedas.
Lumen dijo que los dispositivos comprometidos estaban infectados con un malware llamado Themoon, que asimismo ha alimentado otro servicio de poder criminal denominado sin rostro. La compañía asimismo ha hexaedro el paso de interrumpir la infraestructura mediante el enrutamiento torpe de todo el tráfico cerca de y desde sus puntos de control conocidos.
“Los dos servicios fueron esencialmente el mismo agrupación de proxies y C2, y encima de ese malware, estaban usando una variedad de hazañas que fueron enseres contra los dispositivos EOL”, dijo Lumen a The Hacker News. “Sin bloqueo, los servicios proxy en sí no están relacionados (sin rostro)”.
Se sospecha que los operadores de la botnet se basaron en exploits conocidos para violar los dispositivos EOL y colocarlos en la botnet proxy. Se ha antitético que los bots recientemente agregados se comunican en una infraestructura C2 con sede en Turquía que consta de cinco servidores, de los cuales cuatro están diseñados para comunicarse con las víctimas infectadas en el puerto 80.
“Uno de estos 5 servidores usa UDP en el puerto 1443 para percibir el tráfico de víctimas, sin destinar ningún a cambio”, dijo la compañía de seguridad cibernética. “Sospechamos que este servidor se utiliza para juntar información de sus víctimas”.
En un asesoramiento emitido por el FBI el jueves, la agencia dijo que los actores de amenaza detrás de los botnets han explotado vulnerabilidades de seguridad conocidas en enrutadores expuestos a Internet para instalar malware que otorga comunicación remoto persistente.
El FBI asimismo señaló que los enrutadores EOL se han manido comprometidos con una variable de malware Themoon, lo que permite a los actores de amenaza instalar software proxy en los dispositivos y ayudar a realizar crímenes cibernéticos de forma anónima. Theoon fue documentado por primera vez por el Sans Technology Institute en 2014 en ataques dirigidos a los enrutadores Linksys.
“Themoon no requiere una contraseña para infectar enrutadores; escanea para puertos abiertos y envía un comando a un script débil”, dijo el FBI. “El malware contacta con el servidor de comando y control (C2) y el servidor C2 rebate con instrucciones, lo que puede incluir instruir a la máquina infectada para escanear a otros enrutadores vulnerables para propagar la infección y expandir la red”.
Cuando los usuarios compran un proxy, reciben una combinación de IP y puerto para la conexión. Al igual que en el caso de NSOCKS, el servicio carece de autenticación adicional una vez activada, lo que lo hace formado para el exageración. Se ha antitético que 5socks.net se ha utilizado para realizar fraude publicitario, DDoS y ataques de fuerza bruta, y explotar los datos de la víctima.
Para mitigar los riesgos planteados por tales Botnets proxy, se recomienda a los usuarios que reinicie regularmente los enrutadores, instalar actualizaciones de seguridad, cambiar las contraseñas predeterminadas y modernizar a los modelos más nuevos una vez que alcanzan el estado de la EOL.
“Los servicios proxy continuarán presentando una amenaza directa para la seguridad de Internet, ya que permiten a los actores maliciosos esconderse detrás de las IP residenciales desprevenidas, lo que complica la detección por las herramientas de monitoreo de redes”, dijo Lumen.
“A medida que un gran número de dispositivos al final de la vida permanece en circulación, y el mundo continúa adoptando dispositivos en el ‘Internet de las cosas’, continuará habiendo un agrupación masivo de objetivos para actores maliciosos”.
