Una operación conjunta internacional de aplicación de la ley cerró dos servicios acusados de proporcionar una botnet de dispositivos conectados a Internet hackeados, incluidos enrutadores, a ciberdelincuentes. Los fiscales de EE. UU. también acusaron a cuatro personas de hackear los dispositivos y ejecutar la botnet.
El miércoles, los sitios web de Anyproxy y 5Socks fueron reemplazados por avisos que indicaban que habían sido incautados por el FBI como parte de una operación de aplicación de la ley llamada “Operation Moonlander”. El aviso dijo que la acción de aplicación de la ley fue realizada por el FBI, la Policía Nacional Holandesa (Politie), la Fiscalía del Distrito Norte de Oklahoma y el Departamento de Justicia de EE. UU.
Luego, el viernes, los fiscales de EE. UU. anunciaron el desmantelamiento de la botnet y la acusación de tres rusos: Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov, Aleksandr Aleksandrovich Shishkin; y Dmitriy Rubtsov, un ciudadano de Kazajistán. Los cuatro son acusados de obtener ganancias al administrar Anyproxy y 5Socks bajo la apariencia de ofrecer servicios de proxy legítimos, pero según los fiscales, estaban basados en enrutadores hackeados.
Chertkov, Morozov, Rubtsoyv y Shishkin, quienes todos residen fuera de los Estados Unidos, apuntaron a modelos antiguos de enrutadores inalámbricos que tenían vulnerabilidades conocidas, comprometiendo “miles” de dichos dispositivos, según la acusación ahora revelada.
Cuando tenían el control de esos enrutadores, los cuatro individuos vendían acceso a la botnet en Anyproxy y 5Socks, servicios que han estado activos desde 2004, según sus sitios web y las autoridades acusadoras.
Las redes de proxy residencial no son ilegales por sí solas; estas ofertas se utilizan a menudo para proporcionar a los clientes direcciones IP para acceder a contenido geobloqueado o para eludir la censura gubernamental. Anyproxy y 5Socks, sin embargo, presuntamente construyeron su red de proxies, algunas de ellas hechas de direcciones IP residenciales, infectando miles de dispositivos vulnerables conectados a Internet y efectivamente convirtiéndolos en una botnet utilizada por ciberdelincuentes, según el Departamento de Justicia.
“De esta manera, el tráfico de Internet de los suscriptores de la botnet parecía provenir de las direcciones IP asignadas a los dispositivos comprometidos en lugar de las direcciones IP asignadas a los dispositivos que los suscriptores realmente estaban utilizando para realizar su actividad en línea”, decía la acusación.
“Conspiradores que actuaban a través de 5Socks promocionaron públicamente la botnet de Anyproxy como un servicio de proxy residencial en las redes sociales y en los foros de discusión en línea, incluidos foros cibernéticos”, añadió la acusación. “Tales servicios de proxy residencial son particularmente útiles para los hackers criminales para proporcionar anonimato al cometer ciberdelitos; las direcciones IP residenciales, en oposición a las comerciales, son generalmente asumidas por los servicios de seguridad en Internet como tráfico mucho más probablemente legítimo”.
El viernes, Black Lotus Labs, un equipo de investigadores dentro de la firma de ciberseguridad Lumen, publicó un informe diciendo que ayudaron a las autoridades a rastrear las redes de proxy. Como explicó Black Lotus en su informe, la botnet estaba “diseñada para ofrecer anonimato a actores maliciosos en línea”.
Según el informe y basado en la visibilidad global de la red de Lumen, la botnet tenía “un promedio de alrededor de 1,000 proxies activos semanales en más de 80 países”.
