Правоохоронні органи ліквідували ботнет, який понад 20 років заражав маршрутизатори. Ботнет підтримував роботу двох сервісів, які пропонували резидентні проксі – Anyproxy і 5socks.

Міністерство юстиції США повідомляє, що висунуло обвинувачення трьом громадянам Росії (Олексію Вікторовичу Чорткову, Кирилу Володимировичу Морозову та Олександру Олександровичу Шишкіну) і громадянину Казахстану (Дмитру Рубцову), яких підозрюють у причетності до експлуатації, підтримки та отримання прибутку з цих двох незаконних сервісів.

Операція з ліквідації ботнету дістала назву Moonlander, і в її рамках американські правоохоронці співпрацювали з прокурорами і слідчими з Національної поліції та прокуратури Нідерландів, Королівської поліції Таїланду, а також аналітиками Black Lotus Labs з компанії Lumen Technologies.

Згідно з судовими документами, ліквідований ботнет заражав малвар’ю старі бездротові роутери в усьому світі і був активним щонайменше з 2004 року. Отримавши несанкціонований доступ до скомпрометованих пристроїв, зловмисники використовували їх як проксі, які продавалися на сайтах Anyproxy[.]net і 5socks[.]net. Цими доменами керувала компанія з Вірджинії, їх хостили на серверах по всьому світу.

Варто зазначити, що за кілька днів до цього ФБР попередило, що цей ботнет націлений на старі маршрутизатори й атакує їх за допомогою варіації малварі TheMoon.

Правоохоронці писали, що на зламані пристрої встановлюють проксі, які згодом використовують для ухилення від виявлення під час атак на крадіжку криптовалюти та інших незаконних операцій.

ФБР повідомляло, що, як правило, ботнет атакує роутери Linksys і Cisco, включно з:

-Linksys E1200, E2500, E1000, E4200, E1500, E3000, E3200, E1550;
-Linksys WRT320N, WRT310N, WRT610N;
-Cisco M10;
-Ericsson Cradlepoint E100.