اف‌بی‌آی و پلیس هلند، شبکه بات‌نت روترهای هک‌شده را توقیف و تعطیل کردند!

در اقدامی مشترک و بین‌المللی در زمینه اجرای قانون، دو سرویس متهم به تأمین یک بات‌نت از دستگاه‌های متصل به اینترنت هک‌شده، از جمله روترها، برای مجرمان سایبری تعطیل شدند. دادستان‌های ایالات متحده همچنین چهار نفر را به جرم هک کردن این دستگاه‌ها و اداره بات‌نت متهم کردند.

در روز چهارشنبه، وب‌سایت‌های Anyproxy و 5Socks با اطلاعیه‌هایی مبنی بر اینکه توسط FBI به عنوان بخشی از یک عملیات اجرایی با نام “عملیات مون‌لندر” ضبط شده‌اند، جایگزین شدند. این اطلاعیه اعلام کرد که این اقدام اجرایی توسط FBI، پلیس ملی هلند (Politie)، دفتر دادستانی ایالات متحده برای منطقه شمال اوکلاهما و وزارت دادگستری ایالات متحده انجام شده است.

در روز جمعه، دادستان‌های ایالات متحده از برچیده شدن بات‌نت و صدور کیفرخواست علیه سه روسی: الکسی ویکتوروویچ چرچکوف، کیریل ولادیمیروویچ مورو زوف، و الکساندر الکساندروویچ شیشکین و همچنین دیمیتری روتسوف، یک ملیت قزاق، خبر دادند. این چهار نفر به سودجویی از طریق اداره Anyproxy و 5Socks تحت عنوان ارائه خدمات پروکسی مشروع متهم شده‌اند، اما دادستان‌ها ادعا می‌کنند که این خدمات بر پایه روترهای هک‌شده ساخته شده‌اند.

• چرچکوف، مورو زوف، روتسوف و شیشکین که همگی در خارج از ایالات متحده زندگی می‌کنند، روترهای اینترنت بی‌سیم مدل قدیمی را که دارای آسیب‌پذیری‌های شناخته‌شده بودند، هدف قرار دادند و به گفته کیفرخواست اکنون افشا شده، “هزاران” دستگاه از این نوع را آلوده کردند.
• هنگامی که کنترل این روترها را در دست داشتند، این چهار نفر دسترسی به بات‌نت را در Anyproxy و 5Socks که از سال 2004 فعال بوده‌اند، فروختند.

شبکه‌های پروکسی مسکونی به خودی خود غیرقانونی نیستند؛ این خدمات معمولاً برای ارائه آدرس‌های IP به مشتریان برای دسترسی به محتوای مسدود شده جغرافیایی یا دور زدن سانسور دولتی استفاده می‌شوند. با این حال، Anyproxy و 5Socks به طور ادعایی شبکه پروکسی‌های خود را — که برخی از آن‌ها شامل آدرس‌های IP مسکونی بودند — با آلوده کردن هزاران دستگاه متصل به اینترنت آسیب‌پذیر ساخته‌اند و به طور مؤثر آن‌ها را به یک بات‌نت برای استفاده مجرمان سایبری تبدیل کرده‌اند، طبق گفته وزارت دادگستری.

در کیفرخواست آمده است: “به این ترتیب، ترافیک اینترنتی مشترکان بات‌نت به نظر می‌رسید که از آدرس‌های IP اختصاص داده شده به دستگاه‌های آلوده ناشی می‌شود، نه از آدرس‌های IP اختصاص داده شده به دستگاه‌هایی که مشترکان در واقع برای انجام فعالیت‌های آنلاین خود استفاده می‌کردند.”

کیفرخواست اضافه کرد: “توطه‌گران از طریق 5Socks بات‌نت Anyproxy را به عنوان یک سرویس پروکسی مسکونی در شبکه‌های اجتماعی و انجمن‌های بحث آنلاین، از جمله انجمن‌های مجرمان سایبری، به‌طور عمومی تبلیغ کردند.” این نوع خدمات پروکسی مسکونی به ویژه برای هکرهای مجرم مفید است تا در حین ارتکاب جرائم سایبری ناشناس بمانند؛ آدرس‌های IP مسکونی — بر خلاف آدرس‌های IP تجاری — به طور کلی توسط خدمات امنیت اینترنت به عنوان ترافیک معتبرتر فرض می‌شوند.

طبق بیانیه مطبوعاتی وزارت دادگستری، این چهار نفر معتقدند که بیش از 46 میلیون دلار از فروش دسترسی به بات‌نت درآمد کسب کرده‌اند.

FBI، وزارت دادگستری و پلیس ملی هلند به درخواست‌های نظرات پاسخ نداده‌اند.

رایان انگلش، یک محقق در Black Lotus Labs، پیش از ضبط دامنه‌ها به TechCrunch گفت که این دو سرویس برای چندین نوع سوءاستفاده، از جمله پاشش رمز عبور، راه‌اندازی حملات توزیع شده انکار سرویس (DDoS) و تقلب در تبلیغات استفاده می‌شدند.

در روز جمعه، Black Lotus Labs، تیمی از محققان مستقر در شرکت امنیت سایبری Lumen، گزارشی منتشر کرد که در آن اعلام کردند که به مقامات در ردیابی شبکه‌های پروکسی کمک کرده‌اند. همان‌طور که Black Lotus در گزارش خود توضیح داد، بات‌نت “برای ارائه ناشناسی به بازیگران مخرب آنلاین طراحی شده بود.”

انگلش به TechCrunch گفت که او و همکارانش مطمئن هستند که Anyproxy و 5Socks “همان مجموعه پروکسی‌ها هستند که توسط همان اپراتورها اداره می‌شوند، فقط با یک نام متفاوت” و اینکه “بخش عمده بات‌نت روترها بودند، از تمام مدل‌ها و برندهای منقضی.”

طبق گزارش و بر اساس دید جهانی Lumen، این بات‌نت “به طور متوسط حدود 1,000 پروکسی فعال هفتگی در بیش از 80 کشور داشت.”

شرکتی به نام Spur که خدمات پروکسی را در اینترنت ردیابی می‌کند، همچنین در این عملیات همکاری کرده است. رایلی کیلمر، هم‌بنیان‌گذار Spur به TechCrunch گفت که در حالی که 5Socks یکی از شبکه‌های کوچک‌تر مجرمانه‌ای است که این شرکت ردیابی می‌کند، این شبکه “در زمینه تقلب مالی محبوبیت پیدا کرده است.”