Una operación conjunta de la aplicación de la ley realizada por las autoridades holandesas y estadounidenses ha desmantelado una red de representación penal que funciona con miles de dispositivos infectados de Internet de las cosas (IoT) y al final de la vida (EOL), alistándolos en una botnet para proporcionar anonimato a los actores maliciosos.
In conjunction with the domain seizure, Russian nationals, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36, and Dmitriy Rubtsov, 38, a Kazakhstani national, have been charged by the US Department of Justice (DoJ) for operating, maintaining, and profiting from the Servicios proxy.
El Departamento de Justicia señaló que los usuarios pagaron una tarifa de suscripción mensual, que oscila entre $ 9.95 y $ 110 por mes, lo que obtuvo más de $ 46 millones vendiendo acceso a los enrutadores infectados. Se cree que el servicio ha estado disponible desde 2004.
También dijo que la Oficina Federal de Investigación de los Estados Unidos (FBI) encontró enrutadores comerciales y residenciales en Oklahoma que habían sido pirateados para instalar malware sin el conocimiento de los usuarios.
«Un promedio semanal de 1,000 bots únicos en contacto con la infraestructura de comando y control (C2), ubicada en Turquía», dijo Lumen Technologies Black Lotus Labs en un informe compartido con Hacker News. «Más de la mitad de estas víctimas están en los Estados Unidos, con Canadá y Ecuador que muestran los próximos dos totales más altos».
Los servicios en cuestión, AnyProxy.net y 5Socks.net, han sido interrumpidos como parte de un esfuerzo con el nombre de Operación de Operación Moonlander. Lumen le dijo a The Hacker News que ambas plataformas apuntan a la «misma botnet, que se vende bajo dos servicios con nombre diferentes».
Las instantáneas capturadas en el Archivo de Internet muestran que 5Socks.net anunció «más de 7,000 representantes en línea diariamente» que abarcan varios países y estados de los Estados Unidos, lo que permite a los actores de amenazas llevar a cabo una amplia gama de actividades ilícitas a cambio de un pago de criptomonedas.
Lumen dijo que los dispositivos comprometidos estaban infectados con un malware llamado Themoon, que también ha alimentado otro servicio de poder criminal denominado sin rostro. La compañía también ha dado el paso de interrumpir la infraestructura mediante el enrutamiento nulo de todo el tráfico hacia y desde sus puntos de control conocidos.
«Los dos servicios fueron esencialmente el mismo grupo de proxies y C2, y además de ese malware, estaban usando una variedad de hazañas que fueron útiles contra los dispositivos EOL», dijo Lumen a The Hacker News. «Sin embargo, los servicios proxy en sí no están relacionados (sin rostro)».
Se sospecha que los operadores de la botnet se basaron en exploits conocidos para violar los dispositivos EOL y colocarlos en la botnet proxy. Se ha encontrado que los bots recientemente agregados se comunican en una infraestructura C2 con sede en Turquía que consta de cinco servidores, de los cuales cuatro están diseñados para comunicarse con las víctimas infectadas en el puerto 80.
«Uno de estos 5 servidores usa UDP en el puerto 1443 para recibir el tráfico de víctimas, sin enviar ninguno a cambio», dijo la compañía de seguridad cibernética. «Sospechamos que este servidor se utiliza para almacenar información de sus víctimas».
En un asesoramiento emitido por el FBI el jueves, la agencia dijo que los actores de amenaza detrás de los botnets han explotado vulnerabilidades de seguridad conocidas en enrutadores expuestos a Internet para instalar malware que otorga acceso remoto persistente.
El FBI también señaló que los enrutadores EOL se han visto comprometidos con una variante de malware Themoon, lo que permite a los actores de amenaza instalar software proxy en los dispositivos y ayudar a realizar crímenes cibernéticos de forma anónima. Theoon fue documentado por primera vez por el Sans Technology Institute en 2014 en ataques dirigidos a los enrutadores Linksys.
«Themoon no requiere una contraseña para infectar enrutadores; escanea para puertos abiertos y envía un comando a un script vulnerable», dijo el FBI. «El malware contacta con el servidor de comando y control (C2) y el servidor C2 responde con instrucciones, lo que puede incluir instruir a la máquina infectada para escanear a otros enrutadores vulnerables para propagar la infección y expandir la red».
Cuando los usuarios compran un proxy, reciben una combinación de IP y puerto para la conexión. Al igual que en el caso de NSOCKS, el servicio carece de autenticación adicional una vez activada, lo que lo hace maduro para el abuso. Se ha encontrado que 5socks.net se ha utilizado para realizar fraude publicitario, DDoS y ataques de fuerza bruta, y explotar los datos de la víctima.
Para mitigar los riesgos planteados por tales Botnets proxy, se recomienda a los usuarios que reinicie regularmente los enrutadores, instalar actualizaciones de seguridad, cambiar las contraseñas predeterminadas y actualizar a los modelos más nuevos una vez que alcanzan el estado de la EOL.
«Los servicios proxy continuarán presentando una amenaza directa para la seguridad de Internet, ya que permiten a los actores maliciosos esconderse detrás de las IP residenciales desprevenidas, lo que complica la detección por las herramientas de monitoreo de redes», dijo Lumen.
«A medida que un gran número de dispositivos al final de la vida permanece en circulación, y el mundo continúa adoptando dispositivos en el ‘Internet de las cosas’, continuará habiendo un grupo masivo de objetivos para actores maliciosos».
