Российские роботы, известные как RSOCKS, были закрыты Министерством юстиции США, работающим с правоохранительными органами Германии, Нидерландов и Великобритании. Считается, что он взломал миллионы компьютеров и других устройств по всему миру.
Ботнет RSOCKS действует как служба IP-прокси, но вместо того, чтобы предоставлять законные IP-адреса, арендованные у интернет-провайдеров, он предоставляет преступникам доступ к IP-адресам устройств, скомпрометированных вредоносным ПО. утверждение Из прокуратуры США в Южном округе Калифорнии.
Похоже, что изначально RSOCKS предназначался для различных устройств Интернета вещей (IoT), таких как промышленные системы управления, маршрутизаторы, устройства потоковой передачи аудио/видео и многие другие устройства, подключенные к Интернету, а затем распространился на другие конечные точки, такие как устройства Android и компьютеры. системы.
Министерство юстиции заявило, что операторы ботов RSOCKS могли взламывать целевые устройства, просто запуская атаки методом грубой силы, а не используя какие-либо уязвимости программного обеспечения.
Эксперты по безопасности и аналитики уже много лет предупреждают об угрозе, исходящей от устройств IoT, особенно тех, которые нацелены на потребителей, которые вряд ли будут знать или заботиться о настройках безопасности или устанавливать обновления программного обеспечения как можно быстрее, даже несмотря на то, что крупные компании были известны. игнорировать Более того.
По данным Министерства юстиции, киберпреступники, которые хотели использовать платформу RSOCKS, могли просто получить доступ к интернет-магазину, который позволял им платить за доступ к пулу прокси-серверов в течение определенного периода времени по цене от 30 долларов США в день за доступ к 2000 прокси по 200 долларов в день за доступ к 90 000 агентов.
RSOCKS теперь содержит заявление о том, что сайт был конфискован ФБР в соответствии с ордером на арест, полученным Министерством юстиции и прокуратурой США, но Архивная копия сайта Интернет-архив, доступный на Wayback Machine, показывает, что он выглядит как очередная витрина прокси-сервиса.
Министерство юстиции считает, что пользователи RSOCKS осуществляют различные незаконные действия, в том числе атаки на службы аутентификации с помощью заполнения учетных данных или рассылки вредоносных электронных писем, таких как фишинговые сообщения.
Похоже, что следователи ФБР использовали простую тактику покупки доступа к RSOCKS, чтобы получить доступ и идентифицировать серверную инфраструктуру и ее жертв. Первоначальная секретная операция датируется 2017 годом и выявила почти 325 000 скомпрометированных устройств по всему миру.
По данным Министерства юстиции, жертвами сети ботнета RSOCKS стали ряд крупных государственных и частных учреждений, в том числе университет, гостиница, телестудия, производитель электроники, а также домашние предприятия и многие частные лица. ®