Правоохоронні органи провели успішну міжнародну операцію Moonlander, результатом якої стала ліквідація одного з найстаріших та найбільших ботнетів у світі. Зловмисники протягом двох десятиліть використовували скомпрометовані маршрутизатори для створення масштабної мережі нелегальних прокси-серверів, які реалізовувались через сервіси Anyproxy та 5socks.
Міжнародна співпраця та викриття зловмисників
До розслідування були залучені правоохоронні органи США, Нідерландів, Таїланду та експерти з Black Lotus Labs компанії Lumen Technologies. Міністерство юстиції США висунуло обвинувачення чотирьом підозрюваним: громадянам Росії Олексію Черткову, Кирилу Морозову, Олександру Шишкіну та громадянину Казахстану Дмитру Рубцову.
Технічна інфраструктура та механізми атак
Кіберзлочинці використовували модифіковану версію шкідливого програмного забезпечення TheMoon, яке атакувало застарілі бездротові маршрутизатори. Інфіковані пристрої перетворювались на прокси-сервери, доступ до яких продавався через веб-сайти Anyproxy[.]net та 5socks[.]net. Вартість послуг коливалась від 9,95 до 110 доларів на місяць.
Масштаби та фінансові показники операції
За даними слідства, злочинна група контролювала понад 7000 резидентних прокси-серверів, які активно рекламувались на хакерських форумах. Загальний прибуток від нелегальної діяльності перевищив 46 мільйонів доларів. Оплата здійснювалась криптовалютою, а система не вимагала суворої автентифікації користувачів.
Вразливі пристрої та особливості захисту
Основними цілями ботнету стали маршрутизатори виробництва Linksys та Cisco. Особливу небезпеку становила здатність шкідливого ПЗ обходити стандартні механізми захисту – лише 10% шкідливої активності виявлялось популярними антивірусними рішеннями, включаючи VirusTotal.
Успішна ліквідація цього ботнету демонструє ефективність міжнародної співпраці у боротьбі з кіберзлочинністю. Проте цей випадок підкреслює критичну необхідність регулярного оновлення мережевого обладнання та впровадження комплексних заходів захисту. Фахівці з кібербезпеки рекомендують власникам маршрутизаторів негайно перевірити свої пристрої на наявність підозрілої активності та встановити актуальні оновлення безпеки для запобігання подібним атакам у майбутньому.
