法執行当局は、Anyproxyと5socksとして知られる住宅用プロキシの2つのネットワークを構築するために、過去20年間に数千台のルーターに感染したボットネットを解体した。
米国司法省はまた、これら2つの違法サービスの運営、維持、および利益に関与したとして、3人のロシア人(Alexey Viktorovich Chertkov、Kirill Vladimirovich Morozov、Aleksandr Aleksandrovich Shishkin)と1人のカザフスタン人(Dmitriy Rubtsov)を起訴しました。
ムーンランダー作戦」と名付けられたこの共同作戦の間、米国当局は、オランダ国家警察、オランダ検察庁(Openbaar Ministerie)、タイ王立警察の検察官および捜査官、ならびにルーメン・テクノロジーズのブラック・ロータス・ラボのアナリストと協力した。
法廷文書によると、現在では解体されたボットネットは、少なくとも2004年以降、世界中の古い無線インターネット・ルーターにマルウェアを感染させ、Anyproxy.netと5socks.netでプロキシ・サーバーとして販売される侵害されたデバイスへの不正アクセスを可能にしていた。この2つのドメインはバージニア州に拠点を置く企業によって管理され、世界中のサーバーでホストされていました。
“ボットネット・コントローラーは、支払いに暗号通貨を要求する。Black Lotus Labsは、「ユーザーは認証なしでプロキシと直接接続することを許可されており、以前の事例で文書化されているように、幅広い悪意のあるアクターが自由にアクセスできるようになる可能性がある。
「ソースの範囲を考えると、VirusTotalのような一般的なツールで悪意のあるものとして検出されるのはわずか10%程度であり、ネットワーク監視ツールを高い確率で回避していることを意味します。このようなプロキシは、広告詐欺、DDoS攻撃、ブルートフォース、または被害者のデータの搾取を含む、さまざまな不正な追求を隠すために設計されています。”
ユーザーは、要求されたサービスに応じて、月額9.95ドルから110ドルまでの月額利用料を支払っていた。司法省は本日、「ウェブサイトのスローガンである “Working since 2004!”は、このサービスが20年以上にわたって利用可能であることを示している」と述べた。
4人の被告は、サイバー犯罪者が使用するものを含むさまざまなウェブサイトで、2つのサービス(7,000以上のプロキシを宣伝)を家庭用プロキシ・サービスとして宣伝し、Anyproxyボットネットの一部である感染したルーターへのアクセスを提供するサブスクリプションの販売から4,600万ドル以上を集めたとされている。
彼らは、ロシアのインターネット・ホスティング・プロバイダーであるJCS Fedora Communicationsに登録されホストされているサーバーを使用して、Anyproxy.netと5socks.netのウェブサイトを運営していました。彼らはまた、Anyproxyボットネットと2つのウェブサイトを管理するために、オランダ、トルコ、およびその他の場所のサーバーを使用しました。
彼らは全員共謀と保護されたコンピュータへの損害で起訴され、ChertkovとRubtsovはドメイン名の虚偽登録でも告発された。
使用済み(EoL)ルーターを狙う
水曜、FBIはまた、このボットネットがTheMoonマルウェアの亜種でパッチの使用済み(EoL)ルーターを標的にしていることを警告するフラッシュ勧告と公共サービスアナウンスを発表した。
FBIは、この攻撃者が、サイバー犯罪の傭兵行為、暗号通貨窃盗攻撃、その他の違法行為において、後に検知を逃れるために使用されるプロキシをインストールしていると警告している。
ボットネットによく狙われるデバイスのリストには、LinksysとCiscoのルーターモデルが含まれている:
- Linksys E1200、E2500、E1000、E4200、E1500、E300、E3200、E1550
- リンクシスWRT320N、WRT310N、WRT610N
- Cisco M10およびCradlepoint E100
“最近、寿命が尽き、リモート管理が有効になっている一部のルーターが、TheMoonマルウェアの新しい亜種によって侵害されていることが確認されました。このマルウェアによって、サイバー犯罪者は疑うことを知らない被害者のルーターにプロキシをインストールし、匿名でサイバー犯罪を行うことができる。
「このような住宅用プロキシ・サービスは、サイバー犯罪を行う際に匿名性を提供するため、犯罪者ハッカーにとって特に有用である。一般的に、住宅用(商業用とは対照的)のIPアドレスは、インターネット・セキュリティ・サービスによって、正当なトラフィックである可能性が高いと想定されている。「このようにして、共謀者は侵害されたルーターへのアクセスを販売することで私的な金銭的利益を得た。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。
Comments