Домашній Wi‑Fi-роутер може роками виглядати цілком справним, одночасно будучи частиною кримінальної інфраструктури. Саме так працював один із найбільш живучих проксі-ботнетів SocksEscort, побудований на заражених Linux-маршрутизаторах із малвар’ю AVRecon. Нещодавно спільна операція правоохоронних органів США та Європи суттєво підірвала цей сервіс резидентних проксі.
Міжнародна операція проти проксі-ботнету SocksEscort
За даними підрозділу Black Lotus Labs компанії Lumen, який надавав технічну підтримку Міністерству юстиції США, в інфраструктурі SocksEscort щотижня залишалося активними в середньому близько 20 000 заражених пристроїв. Хоча сервіс детально описали дослідники лише у 2023 році, його операторам вдавалося працювати понад десять років, постійно адаптуючись до спроб блокування.
У Європі координацію забезпечував Європол, а до практичної фази операції долучилися правоохоронні органи Австрії, Франції та Нідерландів. У результаті було конфісковано 34 домени та 23 сервери в семи країнах, а в США заморожено близько 3,5 млн доларів у криптовалюті, пов’язаних із SocksEscort. Такий підхід одночасно б’є як по керувальній інфраструктурі ботнету, так і по його фінансовій мотивації.
Модель роботи комерційного проксі-сервісу SocksEscort
SocksEscort позиціонувався як платний проксі-сервіс, що надавав клієнтам доступ до резидентних та малому бізнесу IP-адрес. Окремий наголос робився на «чистих» адресах великих американських провайдерів — Comcast, Spectrum, Verizon, Charter. Завдяки високій репутації таких IP-трастів трафік зі сторони зловмисника сприймався банками, криптобіржами та онлайн-сервісами як легітимна активність звичайного користувача.
За оцінкою Мін’юсту США, з літа 2020 року SocksEscort продав доступ приблизно до 369 000 унікальних IP-адрес. Станом на лютий 2026 року клієнтське програмне забезпечення сервісу відображало близько 8000 заражених маршрутизаторів, доступних орендарям, з них орієнтовно 2500 перебували в США. Така розподілена архітектура ускладнювала блокування та забезпечувала високий рівень анонімності для кіберзлочинців.
AVRecon: Linux-малварь, що стояла за проксі-ботнетом
Інфікування маршрутизаторів та масштаб ботнету
Ключовим елементом SocksEscort стала спеціалізована малварь AVRecon, націлена на маршрутизатори та інші мережеві пристрої під управлінням Linux. За спостереженнями Lumen, AVRecon активно застосовується щонайменше з травня 2021 року і до середини 2023 року скомпрометувала понад 70 000 маршрутизаторів. З початку 2025 року дослідники зафіксували понад 280 000 унікальних постраждалих IP-адрес, залучених до ботнету.
Розширення ботнету відбувалося винятково за рахунок AVRecon, і ознак її використання іншими групами виявлено не було. Це свідчить про вузьку спеціалізацію інфраструктури SocksEscort. Понад половину заражених пристроїв розташовувалися у США та Великій Британії, де висока щільність широкосмугового доступу робить домашні та офісні маршрутизатори привабливою ціллю.
Резидентні проксі як інструмент обходу захисту
Резидентні проксі на базі домашніх роутерів особливо затребувані на тіньовому ринку. Трафік із таких IP-адрес виглядає як звичайна поведінка користувача, рідше потрапляє під фільтри антифроду й геолокаційні обмеження, а отже дозволяє злочинцям непомітно:
— проводити фінансові махінації;
— створювати та «прогрівати» фейкові акаунти;
— обходити блокування та ліміти для бот-активності;
— маскувати схеми відмивання коштів.
Типовий сценарій включає комбінацію викрадених облікових даних, соціальної інженерії та використання «довірених» резидентних IP для обходу антифрод-систем і перевірок KYC.
Фінансові інциденти, пов’язані з SocksEscort
Мін’юст США пов’язує інфраструктуру SocksEscort, зокрема, з крадіжкою криптовалюти на близько 1 млн доларів у мешканця Нью-Йорка. В іншому епізоді через цей проксі-сервіс реалізували шахрайську схему проти виробничої компанії з Пенсильванії із збитками близько 700 000 доларів. Окремий випадок стосується викрадення орієнтовно 100 000 доларів у діючих і колишніх військовослужбовців США шляхом зловживань картками MILITARY STAR.
У всіх цих інцидентах резидентні проксі слугували критичною ланкою, дозволяючи операторам атак виглядати «знаходячись» у тій самій країні або навіть регіоні, що й жертви. Власники скомпрометованих маршрутизаторів зазвичай взагалі не усвідомлюють, що їхні пристрої стали частиною ланцюга атаки.
Спроби нейтралізації ботнету та уроки для власників маршрутизаторів
Приватний сектор уже намагався обмежити масштаби ботнету до офіційної операції. Фахівці Lumen тимчасово нейтралізували AVRecon, обнуливши маршрутизацію до серверів управління у власній магістральній мережі, фактично розірвавши канал зв’язку між ботами та командно-контрольною інфраструктурою. Проте оператори SocksEscort з часом відновили контроль, що продемонструвало обмеженість виключно мережевих заходів без повноцінного демонтажу всієї злочинної екосистеми.
Ситуація із SocksEscort показує, наскільки вразливими лишаються домашні та малі офісні маршрутизатори. Устаріла прошивка, стандартні паролі, ввімкнене віддалене адміністрування та відсутність сегментації мережі роблять такі пристрої ідеальними мішенями для масового зараження. При цьому компрометація майже непомітна: роутер продовжує працювати, а додаткове навантаження на канал зазвичай не викликає підозр.
Щоб зменшити ризик потрапити до подібного проксі-ботнету, власникам варто регулярно оновлювати прошивку обладнання, змінювати заводські облікові дані, вимикати непотрібні сервіси віддаленого доступу, використовувати складні унікальні паролі та, де можливо, вмикати автоматичні оновлення безпеки. Корисними є базовий моніторинг мережевої активності та консультації з провайдером або профільними фахівцями у разі підозри на аномальний трафік. Обізнаність про кейси на кшталт SocksEscort і AVRecon — це практичний привід прямо зараз переглянути налаштування власного маршрутизатора і зробити перший крок до стійкішої кібербезпеки домашньої та офісної мережі.
