В результате масштабной международной операции Moonlander правоохранительные органы ликвидировали один из старейших и крупнейших ботнетов, который на протяжении двух десятилетий компрометировал маршрутизаторы по всему миру. Злоумышленники использовали зараженные устройства для создания нелегальной сети резидентных прокси-серверов, которые продавались через сервисы Anyproxy и 5socks.
Масштабы операции и подозреваемые
Министерство юстиции США выдвинуло обвинения против четырех подозреваемых: трех граждан России (Алексея Черткова, Кирилла Морозова и Александра Шишкина) и одного гражданина Казахстана (Дмитрия Рубцова). В ходе расследования правоохранители сотрудничали с представителями Нидерландов, Таиланда и специалистами Black Lotus Labs компании Lumen Technologies.
Технические аспекты и механизм работы
Ботнет, действовавший с 2004 года, использовал модифицированную версию вредоносного ПО TheMoon для заражения устаревших беспроводных маршрутизаторов. Скомпрометированные устройства превращались в прокси-серверы, доступ к которым продавался через специализированные веб-сайты Anyproxy[.]net и 5socks[.]net. Стоимость подписки варьировалась от 9,95 до 110 долларов в месяц.
Масштаб и финансовые показатели
По данным следствия, операторы ботнета рекламировали более 7000 доступных резидентных прокси-серверов на различных площадках, включая форумы киберпреступников. Общий доход от незаконной деятельности превысил 46 миллионов долларов. Оплата принималась в криптовалюте, а доступ к прокси предоставлялся без строгой аутентификации.
Целевые устройства и уязвимости
Основными мишенями ботнета стали маршрутизаторы производства Linksys и Cisco. Особую опасность представляла способность вредоносного ПО обходить традиционные системы защиты — только около 10% вредоносной активности определялось популярными антивирусными решениями, включая VirusTotal.
Ликвидация данного ботнета представляет собой значительную победу в борьбе с киберпреступностью. Однако этот случай подчеркивает критическую важность регулярного обновления сетевого оборудования и внедрения комплексных мер защиты. Владельцам маршрутизаторов рекомендуется проверить свои устройства на наличие подозрительной активности и установить последние обновления безопасности.
