La policía neerlandesa y el FBI desmantelan una botnet de enrutadores hackeados.

Una acción conjunta de las fuerzas del orden internacional llevó al cierre de dos servicios acusados de proporcionar una botnet compuesta por dispositivos conectados a Internet, incluyendo routers, para el uso de ciberdelincuentes. Además, la fiscalía de Estados Unidos presentó cargos contra cuatro individuos señalados de haber hackeado estos dispositivos y operar la botnet. El miércoles, los sitios web de Anyproxy y 5Socks fueron reemplazados por avisos indicando que habían sido confiscados por el FBI como parte de una operación conocida como "Operación Moonlander". La notificación especificó que la acción fue llevada a cabo por varias agencias, entre ellas el FBI, la Policía Nacional de los Países Bajos, la Oficina del Fiscal de EE. UU. para el Distrito Norte de Oklahoma y el Departamento de Justicia de EE. UU.

El viernes, los fiscales estadounidenses anunciaron la desarticulación de la botnet y la acusación de tres ciudadanos rusos: Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov y Aleksandr Aleksandrovich Shishkin, así como de Dmitriy Rubtsov, un nacional de Kazajistán. Se les acusa de haber obtenido beneficios por operar Anyproxy y 5Socks, presentándose como proveedores de servicios proxy legítimos, aunque los fiscales argumentan que estas redes estaban basadas en routers hackeados. Según la acusación, los cuatro individuos, quienes residen fuera de Estados Unidos, se dirigieron a modelos antiguos de routers inalámbricos que tenían vulnerabilidades conocidas, comprometiendo "miles" de estos dispositivos.

Al tomar control de los routers vulnerables, los acusados luego vendieron acceso a la botnet mediante Anyproxy y 5Socks, servicios que estaban activos desde 2004. Las redes de proxies residenciales no son ilegales por sí solas; suelen utilizarse para proporcionar direcciones IP a clientes que quieren acceder a contenido geobloqueado o eludir la censura gubernamental. Sin embargo, Anyproxy y 5Socks, supuestamente, construyeron su red de proxies mediante la infección de miles de dispositivos conectados a Internet, convirtiéndolos en una botnet para el uso de ciberdelincuentes.

"La suscripción a la botnet hacía que el tráfico de Internet de los suscriptores pareciera proceder de las direcciones IP asignadas a los dispositivos comprometidos, en lugar de las IP de los dispositivos que realmente estaban utilizando para sus actividades en línea", detalla la acusación. Los conspiradores, a través de 5Socks, comercializaron públicamente la botnet de Anyproxy como un servicio de proxy residencial en redes sociales y foros de discusión en línea, incluidos los foros de ciberdelincuencia. Este tipo de servicios de proxy residencial son particularmente útiles para hackers criminales, ya que les otorgan anonimato al cometer delitos cibernéticos.

Se estima que los cuatro acusados generaron más de 46 millones de dólares por la venta de acceso a la botnet. Un portavoz del FBI no ofreció comentarios al ser contactado. Según un investigador de Black Lotus Labs, los servicios fueron utilizados para diversos tipos de abusos, incluyendo ataques de fuerza bruta, ataques distribuidos de denegación de servicio (DDoS) y fraude publicitario. Black Lotus Labs, un equipo dentro de la firma de ciberseguridad Lumen, ayudó a las autoridades a rastrear las redes proxy implicadas.

La investigación revela que la botnet fue "diseñada para ofrecer anonimato a actores maliciosos en línea" y que Anyproxy y 5Socks son "el mismo grupo de proxies operados por los mismos operadores, solo bajo un nombre diferente". Según el análisis, la botnet contaba con un promedio de alrededor de 1,000 proxies activos semanalmente en más de 80 países.

Spur, una empresa que rastrea servicios de proxy en Internet, también participó en la operación y su cofundador comentó que, si bien 5Socks es una de las redes criminales más pequeñas, había "crecido en popularidad por fraude financiero".