Полиция Нидерландов совместно с Национальным центром кибербезопасности (NCSC) объявили о ликвидации одного из крупнейших ботнетов последних лет — сеть насчитывала не менее 17 миллионов заражённых устройств, включая компьютеры, планшеты, смартфоны и IoT-оборудование. Инфраструктура управления располагалась на более чем 200 серверах в Нидерландах. Владельцам любых подключённых к интернету устройств следует проверить актуальность прошивок и паролей — масштаб заражения говорит о том, что скомпрометированные устройства могут находиться в любой стране мира.
Детали операции
Согласно официальному заявлению NCSC, правоохранительные органы изъяли часть серверов у хостинг-провайдера, предоставлявшего инфраструктуру для ботнета. После этого провайдер самостоятельно отключил оставшуюся часть сети, подтвердив её использование в криминальных целях.
Официальное заявление NCSC не называет ботнет по имени. Однако, по данным издания NL Times, предположительно речь идёт о сервисе Asocks — платформе, предлагающей резидентные прокси. Следует подчеркнуть, что эта атрибуция основана на журналистском расследовании, а не на официальном подтверждении голландских властей.
Резидентные прокси как инструмент киберпреступности
Ликвидированный ботнет функционировал по модели, которая становится всё более распространённой: заражённые пользовательские устройства превращались в узлы прокси-сети, через которые злоумышленники маршрутизировали вредоносный трафик. Как отмечают исследователи Sekoia, резидентные прокси сами по себе имеют легитимные применения — от обеспечения конфиденциальности до доступа к географически ограниченным ресурсам. Однако теневая часть этой экосистемы построена на продаже доступа к скомпрометированным устройствам обычных пользователей.
Механизм заражения, описанный NCSC, типичен для подобных операций: злоумышленники получают доступ к устройству, устанавливают вредоносное ПО для удалённого управления, после чего устройство включается в сеть и используется для криминальной деятельности — от DDoS-атак до маскировки происхождения вредоносного трафика. Владелец устройства при этом, как правило, не подозревает о компрометации.
NCSC также опубликовал экспертный материал о влиянии резидентных прокси на цифровую безопасность в Нидерландах, что свидетельствует о системном подходе властей к этой проблеме.
Масштаб и оценка воздействия
Цифра в 17 миллионов заражённых устройств ставит этот ботнет в один ряд с крупнейшими известными сетями. Для сравнения: ботнет Emotet на пике контролировал около 1,6 миллиона устройств, а 911 S5, ликвидированный в 2024 году, — порядка 19 миллионов. Широта охвата типов устройств — от смартфонов до IoT-оборудования — указывает на использование множественных векторов заражения.
Особую озабоченность вызывает включение IoT-устройств в периметр ботнета. Маршрутизаторы, камеры наблюдения и другое сетевое оборудование часто работают с заводскими паролями и устаревшими прошивками, что делает их идеальными целями для массового заражения. При этом владельцы таких устройств редко проверяют их на наличие компрометации.
Рекомендации по защите
NCSC опубликовал конкретный набор мер для снижения риска включения устройств в ботнеты:
- Обновление операционных систем — поддерживайте актуальные версии ОС на всех устройствах, включая мобильные
- Контроль периферийных устройств — обеспечьте видимость и мониторинг маршрутизаторов, точек доступа и другого сетевого оборудования
- Смена паролей по умолчанию — замените заводские учётные данные на всех устройствах, особенно на IoT-оборудовании
- Надёжные пароли и двухфакторная аутентификация — используйте сложные уникальные пароли и включайте 2FA везде, где это возможно
- Установка приложений из доверенных источников — загружайте ПО только из официальных магазинов и репозиториев
- Защита Wi-Fi — используйте шифрование WPA2 или WPA3 для беспроводных сетей
Ликвидация ботнета из 17 миллионов устройств — значимый результат, но он же демонстрирует масштаб проблемы: миллионы устройств по всему миру остаются уязвимыми для включения в аналогичные сети. Приоритетное действие для организаций и домашних пользователей — провести аудит всех подключённых к сети устройств, обновить прошивки маршрутизаторов и IoT-оборудования и убедиться, что ни одно устройство не работает с заводскими учётными данными.
