Több százezer feltört routert és internetre kapcsolt eszközt használtak fel bűnözők világszerte különféle online támadásokhoz, pénzügyi csalásokhoz és más súlyos visszaélésekhez. A most felszámolt SocksEscort nevű hálózatot nemzetközi akcióban állították le a hatóságok, miután kiderült, hogy a fertőzött eszközök tulajdonosai sokszor nem is tudtak arról, hogy berendezéseiket illegális célokra használják.
Nemzetközi akcióban számolták fel a hatóságok a SocksEscort nevű botnetet, amely feltört otthoni és kisvállalati routerekre, valamint más internetre kapcsolt eszközökre épült. A hálózat fizetős proxyszolgáltatást kínált. A hatóságok szerint banki és kriptós számlák feltörésétől a zsarolóvírusos támadásokig számos bűncselekményhez használták. A művelet során a fertőzött eszközöket leválasztották a szolgáltatásról. A kapcsolódó infrastruktúra egy részét pedig lefoglalták – számol tbe az eljárásról az Europol.
Több mint 369 ezer eszköz érintett lehetett
Az Europol tájékoztatása szerint a SocksEscort több mint 369 ezer routert és IoT-eszközt használt 163 országban. A hálózat főként otthoni és kisvállalati eszközökre épült, vagyis olyan berendezésekre, amelyek sokszor folyamatosan csatlakoznak az internethez, de ritkábban kapnak frissítést vagy felügyeletet. A fertőzött eszközöket a hatóságok a művelet után lekapcsolták a szolgáltatásról.
Fizetős proxyként működött a bűnözőknek
A hatóságok szerint a SocksEscort úgy működött, hogy a bűnözők licencért fizettek, cserébe pedig a feltört eszközök internetkapcsolatát használhatták saját forgalmuk elrejtésére. Ez lehetővé tette, hogy az eredeti IP-címük helyett ártatlan felhasználók hálózati címei mögé bújjanak. Az Europol szerint a modemek és routerek tulajdonosai sok esetben nem is tudtak arról, hogy az eszközeiket illegális tevékenységre használják.
Banki csalásoktól a zsarolóvírusig sok mindenre használták
A hatósági közlések szerint a botnethez kapcsolódó infrastruktúrát banki és kriptovaluta-számlák feltörésére hasunálták, Plusz még csalárd biztosítási és segélykérelmek benyújtására, DDoS-támadásokra, zsarolóvírusos műveletekre, valamint gyermekbántalmazással kapcsolatos anyagok terjesztésére is használták. Az amerikai hatóságok szerint a SocksEscort által támogatott bűncselekmények több millió dolláros kárt okoztak az Egyesült Államokban. Egyes esetekben a veszteség elérte az egymillió dollárt is.
Nem csak a botokat, az infrastruktúrát is célba vették
A művelet nem állt meg a fertőzött eszközök leválasztásánál. A beszámolók szerint a hatóságok 34, a hálózathoz köthető domaint és 23 szervert is célba vettek hét országban. Az Egyesült Államokban pedig 3,5 millió dollárnyi kriptoeszközt foglaltak le. A SocksEscort hivatalos oldalát egy lefoglalásról szóló üzenet váltotta fel, ami azt jelzi, hogy a szolgáltatás működését közvetlenül is megszakították.
AVRecon nevű kártevő állt a háttérben
A Black Lotus Labs korábbi vizsgálata szerint a hálózat működését az AVRecon nevű Linux-alapú kártevő segítette. A kiberbiztonsági cég már 2023-ban arról írt, hogy ez az egyik legnagyobb, kis irodai és otthoni routereket célzó botnet volt az elmúlt években. Akkori elemzésük szerint a kampány több mint 70 ezer gépet fertőzött meg, és több mint 40 ezer IP-címen szerzett tartós hozzáférést. A mostani műveletnél már jóval nagyobb, globális léptékű hálózatról beszélnek a hatóságok.
Évek óta működhetett a háttérben
A TechCrunch beszámolója szerint a SocksEscort legalább 2009 óta ismert lehetett orosz nyelvű szolgáltatásként, később pedig feltört számítógépek és hálózati eszközök hozzáférését értékesíthette. A Black Lotus Labs 2023-as közlése alapján az AVRecon több mint két éven át észrevétlenül működött. 2026 elején is jelentős méretű botnet állhatott mögötte. Egy későbbi összefoglaló szerint februárban még mintegy 8 ezer aktív fertőzött router lehetett a hálózatban, ebből nagyjából 2500 az Egyesült Államokban.
Globális együttműködés kellett a felszámoláshoz
A műveletet több ország hatóságai közösen hajtották végre. Az Europol szerint az akcióban európai és amerikai szervek is részt vettek, ami jól mutatja, hogy az ilyen botnetek elleni fellépés már rég nem kezelhető egyetlen ország szintjén. A SocksEscort ügye azért is kapott nagy figyelmet, mert egyszerre érintette a lakossági eszközök biztonságát, a pénzügyi csalásokat és a súlyos online bűncselekményeket.
Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvánosak és mindenki számára elérhető adatok alapján kerültek felhasználásra.
Címlapkép forrása: Unsplash (illusztráció)
