Правоохранительные органы США и Европы при поддержке экспертов частного сектора провели масштабную операцию по ликвидации прокси-сервиса SocksEscort — одного из наиболее устойчивых и долгоживущих прокси-ботнетов, базировавшегося на заражённых Linux-маршрутизаторах с малварью AVRecon. Эта операция стала показательной с точки зрения борьбы с теневым рынком резидентных прокси и злоупотребления потребительскими сетевыми устройствами.
Операция против SocksEscort и её участники
По данным исследовательского подразделения Black Lotus Labs компании Lumen, которое оказывало техническую поддержку Министерству юстиции США, на протяжении последних лет в инфраструктуре SocksEscort еженедельно активными оставались в среднем около 20 000 заражённых устройств. Несмотря на то что сервис был публично задокументирован исследователями лишь в 2023 году, он действовал более десяти лет, демонстрируя высокую живучесть и гибкость операторов.
Координацию действий в Европе осуществлял Европол, а непосредственное участие приняли силовые структуры Австрии, Франции и Нидерландов. В результате совместных действий было конфисковано 34 домена и 23 сервера в семи странах, а в США заморожено около 3,5 млн долларов в криптовалюте, связанных с деятельностью SocksEscort. Такие меры одновременно ударили по инфраструктуре управления ботнетом и по финансовой базе его операторов.
Масштаб и модель работы прокси-сервиса SocksEscort
SocksEscort позиционировался как коммерческий прокси-сервис, предоставлявший злоумышленникам доступ к резидентным и малому бизнесу IP-адресам. Особый акцент делался на «чистые» IP от крупных интернет-провайдеров США — Comcast, Spectrum, Verizon, Charter, — которые благодаря своему репутационному профилю успешно обходили многочисленные чёрные списки и антифрод-системы.
С лета 2020 года SocksEscort, по оценке Минюста США, продал доступ примерно к 369 000 уникальных IP-адресов. По состоянию на февраль 2026 года в клиентском приложении сервиса числилось около 8000 заражённых маршрутизаторов, доступных арендаторам прокси, из которых примерно 2500 находились в США. Такая распределённая инфраструктура обеспечивала высокий уровень анонимности для киберпреступников и затрудняла традиционные методы блокировки.
AVRecon: Linux-малварь как основа прокси-ботнета
Инфекция маршрутизаторов и рост ботнета
Ключевым инструментом управления инфраструктурой SocksEscort стала малварь AVRecon, нацеленная на маршрутизаторы и иные сетевые устройства под управлением Linux. По данным Lumen, AVRecon активно используется как минимум с мая 2021 года и к середине 2023 года успела заразить более 70 000 маршрутизаторов. С начала 2025 года было зафиксировано свыше 280 000 уникальных пострадавших IP-адресов, задействованных в ботнете.
Эксперты подчёркивают, что расширение ботнета происходило исключительно за счёт AVRecon, и эта малварь применялась только операторами SocksEscort. Заражённые устройства не пересекались с другими известными ботнетами, что указывает на узкую специализацию инфраструктуры. Более половины скомпрометированных маршрутизаторов располагались в США и Великобритании, что делает проблему особенно актуальной для этих регионов с высокой плотностью широкополосного доступа.
Резидентные прокси и обход защитных систем
Резидентные прокси, построенные на заражённых пользовательских маршрутизаторах, крайне востребованы на чёрном рынке. Трафик с таких IP-адресов выглядит как обычная активность домашнего пользователя, поэтому реже попадает под подозрение со стороны банков, криптобирж и онлайн-платформ. Это позволяет злоумышленникам проводить мошеннические операции, создавать и отмывать фальшивые аккаунты, обходить географические ограничения и системы обнаружения бот-активности.
Финансовый ущерб и реальные инциденты
По данным Минюста США, инфраструктура SocksEscort была использована, в частности, для кражи криптовалюты на сумму около 1 млн долларов у жителя Нью-Йорка. В другом эпизоде через этот прокси-сервис была проведена мошенническая схема против производственной компании из Пенсильвании с ущербом порядка 700 000 долларов. Отдельный кейс связан с хищением около 100 000 долларов у действующих и бывших военнослужащих США посредством злоупотребления картами MILITARY STAR.
Подобные эпизоды иллюстрируют типичный сценарий использования прокси-ботнетов: злоумышленники комбинируют похищенные учётные данные, социальную инженерию и трафик через «доверенные» резидентные IP, чтобы обойти системы антифрода и геолокационные фильтры. В результате конечные потерпевшие зачастую даже не подозревают, что их собственный домашний маршрутизатор или офисное устройство было частью цепочки атаки.
Меры противодействия и уроки для владельцев сетевых устройств
Частный сектор уже предпринимал попытки ограничить масштаб ботнета. Так, специалисты Lumen ранее временно нейтрализовали AVRecon, обнулив маршрутизацию к управляющему серверу в своей магистральной сети, фактически разорвав связь между ботами и командно-контрольной инфраструктурой. Однако операторы SocksEscort сумели восстановить управление, что подчёркивает ограниченность чисто сетевых мер без полноценного демонтажа всей криминальной экосистемы.
Инцидент с SocksEscort демонстрирует, насколько уязвимыми остаются домашние и малые офисные маршрутизаторы. Использование устаревшей прошивки, стандартных паролей, включённого удалённого администрирования и отсутствия сегментации сети делает такие устройства идеальными целями для массового заражения. При этом владелец зачастую не замечает компрометации: устройство продолжает работать, а дополнительная нагрузка на канал остаётся в пределах нормы.
Чтобы снизить риск попасть в подобный ботнет, владельцам маршрутизаторов имеет смысл регулярно обновлять прошивку оборудования, менять заводские учётные данные, отключать ненужные сервисы удалённого доступа, использовать сложные уникальные пароли и, по возможности, включать автоматические обновления безопасности. Компании и частные пользователи могут дополнительно применять мониторинг сетевой активности и консультации с провайдерами или профильными специалистами, если возникают подозрения на аномальный трафик. Осведомлённость о таких кейсах, как SocksEscort и AVRecon, остаётся ключевым фактором в повышении цифровой гигиены и защите собственной сети от скрытого вовлечения в киберпреступную инфраструктуру.
