Поліція Нідерландів спільно з Національним центром кібербезпеки (NCSC) заявили про ліквідацію однієї з найбільших ботмереж останніх років — вона налічувала щонайменше 17 мільйонів заражених пристроїв, включно з комп’ютерами, планшетами, смартфонами та IoT-обладнанням. Інфраструктура керування розміщувалася більш ніж на 200 серверах у Нідерландах. Власникам будь-яких пристроїв, підключених до інтернету, слід перевірити актуальність прошивок і паролів — масштаб зараження свідчить, що скомпрометовані пристрої можуть перебувати в будь-якій країні світу.
Деталі операції
Згідно з офіційною заявою NCSC, правоохоронні органи вилучили частину серверів у хостинг-провайдера, який надавав інфраструктуру для ботмережі. Після цього провайдер самостійно відключив решту мережі, підтвердивши її використання в кримінальних цілях.
В офіційній заяві NCSC ботнет не названо поіменно. Втім, за даними видання NL Times, ймовірно йдеться про сервіс Asocks — платформу, що пропонує резидентні проксі. Варто наголосити, що ця атрибуція ґрунтується на журналістському розслідуванні, а не на офіційному підтвердженні з боку нідерландської влади.
Резидентні проксі як інструмент кіберзлочинності
Ліквідований ботнет працював за моделлю, що стає дедалі поширенішою: заражені користувацькі пристрої перетворювалися на вузли проксі-мережі, через які зловмисники маршрутизували шкідливий трафік. Як зазначають дослідники Sekoia, резидентні проксі самі по собі мають легітимні сфери застосування — від забезпечення конфіденційності до доступу до географічно обмежених ресурсів. Однак тіньова частина цієї екосистеми базується на продажу доступу до скомпрометованих пристроїв пересічних користувачів.
Механізм зараження, описаний NCSC, типовий для подібних операцій: зловмисники отримують доступ до пристрою, встановлюють шкідливе програмне забезпечення для віддаленого керування, після чого пристрій під’єднується до мережі й використовується для злочинної діяльності — від DDoS-атак до маскування походження шкідливого трафіку. Власник пристрою зазвичай навіть не підозрює про компрометацію.
NCSC також опублікував експертний матеріал про вплив резидентних проксі на цифрову безпеку в Нідерландах, що свідчить про системний підхід влади до цієї проблеми.
Масштаб і оцінка впливу
Показник у 17 мільйонів заражених пристроїв ставить цей ботнет в один ряд із найбільшими відомими мережами. Для порівняння: ботнет Emotet на піку контролював близько 1,6 мільйона пристроїв, а 911 S5, ліквідований у 2024 році, — близько 19 мільйонів. Широкий спектр типів пристроїв — від смартфонів до IoT-обладнання — вказує на використання множинних векторів зараження.
Особливе занепокоєння викликає включення IoT-пристроїв до периметра ботмережі. Маршрутизатори, камери спостереження та інше мережеве обладнання часто працюють із заводськими паролями та застарілими прошивками, що робить їх ідеальними цілями для масового зараження. Водночас власники таких пристроїв рідко перевіряють їх на предмет компрометації.
Рекомендації із захисту
NCSC опублікував конкретний набір заходів для зниження ризику включення пристроїв до ботмереж:
- Оновлення операційних систем — підтримуйте актуальні версії ОС на всіх пристроях, зокрема на мобільних
- Контроль периферійних пристроїв — забезпечте видимість і моніторинг маршрутизаторів, точок доступу та іншого мережевого обладнання
- Зміна паролів за замовчуванням — замініть заводські облікові дані на всіх пристроях, особливо на IoT-обладнанні
- Надійні паролі та двофакторна автентифікація — використовуйте складні унікальні паролі й вмикайте 2FA всюди, де це можливо
- Встановлення застосунків із довірених джерел — завантажуйте ПЗ лише з офіційних магазинів і репозиторіїв
- Захист Wi‑Fi — використовуйте шифрування WPA2 або WPA3 для бездротових мереж
Ліквідація ботнету з 17 мільйонів пристроїв — суттєвий результат, але водночас вона демонструє масштаб проблеми: мільйони пристроїв у всьому світі залишаються вразливими до включення в подібні мережі. Пріоритетною дією для організацій і домашніх користувачів має стати аудит усіх підключених до мережі пристроїв, оновлення прошивок маршрутизаторів та IoT-обладнання й упевненість у тому, що жоден пристрій не працює із заводськими обліковими даними.
