Zlikwidowano 20-letnie botnetowe imperium zbudowane na starych routerach

Międzynarodowa akcja służb zakończyła działalność botnetu opartego na tysiącach starych routerów. Przestępcy zarobili ponad 46 mln dolarów, oferując dostęp do zainfekowanych urządzeń jako proxy.

W wyniku skoordynowanej akcji amerykańskich, holenderskich i tajskich służb, przy wsparciu ekspertów z Black Lotus Labs, udało się zneutralizować botnet działający nieprzerwanie od ponad 20 lat. Sieć opierała się na tysiącach zainfekowanych routerów, głównie starszych modeli Cisco i Linksys, które nie otrzymywały już aktualizacji bezpieczeństwa.

Botnet był wykorzystywany do świadczenia płatnych usług proxy – cyberprzestępcy oferowali dostęp do ponad 7 tys. serwerów na całym świecie za miesięczną opłatą od 9,95 do 110 dolarów. Usługi działały pod markami Anyproxy i 5socks, a płatności przyjmowano w kryptowalutach. Według szacunków, operatorzy zarobili na tym procederze ponad 46 mln dolarów.

Dostęp do zainfekowanych routerów był możliwy bez żadnej autoryzacji, co oznacza, że praktycznie każdy mógł wykorzystać je do ukrywania swojej aktywności w sieci. Takie proxy były często używane do oszustw reklamowych, ataków DDoS, prób łamania haseł czy kradzieży danych. Eksperci ostrzegają, że podobne usługi są chętnie wykorzystywane przez szerokie spektrum przestępców.

Według Black Lotus Labs, tygodniowo aktywnych było średnio około 1000 botów w ponad 80 krajach. Najwięcej zainfekowanych urządzeń znajdowało się w USA, na Ekwadorze i w Kanadzie. Polska nie znalazła się wśród najbardziej dotkniętych krajów, ale zagrożenie dotyczyło także Europy.

Botnet został unieszkodliwiony dzięki przekierowaniu ruchu przez globalną infrastrukturę firmy Lumen. W sprawie zatrzymano czterech podejrzanych – trzech Rosjan i obywatela Kazachstanu, w wieku od 36 do 41 lat. Zarzuca się im m.in. udział w zorganizowanej grupie przestępczej i niszczenie chronionych systemów komputerowych. Dwóm z nich postawiono dodatkowo zarzut fałszywej rejestracji domen.