A screenshot of the seizure notice on the websites of 5Socks and Anyproxy, two services selling access to a botnet of hacked internet-connected devices. (Image: Screenshot/TechCrunch)

Image Credits:Screenshot/TechCrunch /

اف‌بی‌آی و پلیس هلند بات‌نت عظیمی از روترهای هک شده را تعطیل کردند

مقامات آمریکایی با همکاری پلیس هلند، دو سرویس بات‌نت را که از روترهای هک شده استفاده می‌کردند، تعطیل و چهار نفر را به اتهام اداره و کسب درآمد غیرقانونی از آنها کیفرخواست دادند. این بات‌نت برای جرایم سایبری مورد استفاده قرار می‌گرفت.

۱۴۰۴/۰۲/۱۹

اف‌بی‌آی و پلیس ملی هلند دو سرویس بات‌نت Anyproxy و 5Socks را که متهم به استفاده از روترهای هک شده بودند، در عملیاتی مشترک تعطیل کردند. چهار نفر تبعه روسیه و قزاقستان در این رابطه توسط دادستان‌های آمریکا کیفرخواست داده شده‌اند.

عملیات مشترک بین‌المللی اجرای قانون منجر به تعطیلی دو سرویس شده که متهم به ارائه یک شبکه بات‌نت (botnet) از دستگاه‌های متصل به اینترنت هک شده، از جمله روترها، به مجرمان سایبری بودند. همچنین، دادستان‌های ایالات متحده چهار نفر را به اتهام هک کردن این دستگاه‌ها و اداره بات‌نت متهم کردند.

روز چهارشنبه، وب‌سایت‌های Anyproxy و 5Socks با اطلاعیه‌هایی جایگزین شدند که اعلام می‌کردند توسط اف‌بی‌آی به عنوان بخشی از عملیات اجرای قانون موسوم به "Operation Moonlander" توقیف شده‌اند. این اطلاعیه حاکی از آن بود که اقدام قانونی توسط اف‌بی‌آی، پلیس ملی هلند (Politie)، دفتر دادستانی ایالات متحده برای منطقه شمالی اوکلاهاما و وزارت دادگستری ایالات متحده انجام شده است.

سپس روز جمعه، دادستان‌های ایالات متحده انهدام بات‌نت و کیفرخواست سه تبعه روسیه: الکسی ویکتورویچ چرتکوف، کریل ولادیمیرویچ موروزوف، الکساندر الکساندرویچ شیشکین؛ و دیمیتری روبتسوف، تبعه قزاقستان را اعلام کردند. این چهار نفر متهم به کسب سود از اداره Anyproxy و 5Socks تحت پوشش ارائه خدمات پراکسی (proxy services) قانونی هستند، در حالی که دادستان‌ها می‌گویند این سرویس‌ها در واقع بر پایه روترهای هک شده بنا شده بودند.

بر اساس کیفرخواست منتشر شده، چرتکوف، موروزوف، روبتسوف و شیشکین، که همگی خارج از ایالات متحده اقامت دارند، مدل‌های قدیمی‌تر روترهای بی‌سیم اینترنت را که دارای آسیب‌پذیری‌های شناخته شده بودند، هدف قرار داده و "هزاران" دستگاه از این نوع را آلوده کرده بودند.

به گفته وب‌سایت‌های این سرویس‌ها و مقامات اتهام‌زننده، این چهار نفر پس از کنترل روترها، دسترسی به بات‌نت را از طریق Anyproxy و 5Socks می‌فروختند. این سرویس‌ها از سال 2004 فعال بوده‌اند.

طبق گفته وزارت دادگستری، شبکه‌های پراکسی مسکونی (residential proxy networks) به خودی خود غیرقانونی نیستند؛ این سرویس‌ها اغلب برای ارائه آدرس‌های آی‌پی به مشتریان جهت دسترسی به محتوای مسدود شده جغرافیایی یا دور زدن سانسور دولتی استفاده می‌شوند. با این حال، Anyproxy و 5Socks طبق ادعاها، شبکه پراکسی‌های خود را - که بخشی از آنها از آدرس‌های آی‌پی مسکونی تشکیل شده بود - با آلوده کردن هزاران دستگاه آسیب‌پذیر متصل به اینترنت ساختند و عملاً آنها را به بات‌نتی تبدیل کردند که توسط مجرمان سایبری مورد استفاده قرار می‌گرفت.

کیفرخواست می‌افزاید: "به این ترتیب، ترافیک اینترنت مشترکین بات‌نت به نظر می‌رسید که از آدرس‌های آی‌پی اختصاص داده شده به دستگاه‌های آلوده نشأت می‌گیرد، نه از آدرس‌های آی‌پی اختصاص داده شده به دستگاه‌هایی که مشترکین در واقع برای فعالیت آنلاین خود استفاده می‌کردند."

کیفرخواست همچنین اشاره می‌کند که "توطئه‌کنندگان با فعالیت از طریق 5Socks، بات‌نت Anyproxy را به عنوان یک سرویس پراکسی مسکونی در شبکه‌های اجتماعی و فروم‌های گفتگوی آنلاین، از جمله فروم‌های مجرمان سایبری، به صورت عمومی بازاریابی می‌کردند." این سند توضیح می‌دهد که "چنین سرویس‌های پراکسی مسکونی برای هکرهای مجرم به منظور ایجاد ناشناس بودن هنگام ارتکاب جرایم سایبری بسیار مفید هستند؛ آدرس‌های آی‌پی مسکونی – برخلاف آدرس‌های تجاری – عموماً توسط سرویس‌های امنیت اینترنت به عنوان ترافیک بسیار محتمل‌تر به مشروع بودن فرض می‌شوند."

بر اساس بیانیه مطبوعاتی وزارت دادگستری، اعتقاد بر این است که این چهار نفر بیش از 46 میلیون دلار از فروش دسترسی به بات‌نت درآمد کسب کرده‌اند.

رایان انگلیش (Ryan English)، پژوهشگر در بلک لوتوس لبز (Black Lotus Labs)، پیش از توقیف دامنه‌ها به تک‌کرانچ گفته بود که این دو سرویس برای انواع سوءاستفاده‌ها از جمله حملات اسپری رمز عبور (password spraying)، حملات محروم‌سازی از سرویس توزیع شده (distributed denial-of-service (DDoS) attacks)، و کلاهبرداری تبلیغاتی (ad fraud) استفاده می‌شدند.

روز جمعه، بلک لوتوس لبز، تیمی از پژوهشگران مستقر در شرکت امنیت سایبری لومن (Lumen)، گزارشی منتشر کرد که نشان می‌داد آنها به مقامات در ردیابی شبکه‌های پراکسی کمک کرده‌اند. همانطور که بلک لوتوس در گزارش خود توضیح داد، بات‌نت "برای ارائه ناشناس بودن به عوامل مخرب آنلاین طراحی شده بود."

انگلیش به تک‌کرانچ گفته که او و همکارانش مطمئن هستند Anyproxy و 5Socks "یک مجموعه پراکسی هستند که توسط اپراتورهای یکسان، فقط تحت نامی متفاوت، اداره می‌شوند" و "بخش عمده بات‌نت را روترها، از انواع و مدل‌های پایان عمر تشکیل می‌دادند."

طبق گزارش و بر اساس دید شبکه جهانی لومن، بات‌نت "به طور متوسط حدود 1000 پراکسی فعال هفتگی در بیش از 80 کشور" داشته است.

اسپار (Spur)، شرکتی که سرویس‌های پراکسی در اینترنت را ردیابی می‌کند، نیز در این عملیات همکاری داشته است. رایلی کیلمر (Riley Kilmer)، هم‌بنیان‌گذار اسپار، به تک‌کرانچ گفته است که هرچند 5Socks یکی از شبکه‌های مجرمانه کوچک‌تر است که شرکت او ردیابی می‌کند، اما این شبکه "برای کلاهبرداری مالی محبوبیت یافته بود."

منبع: تک‌کرانچ

آمریکا آسیا امنیت سایبری اروپا اینترنت