美国联邦调查局和荷兰警方查获并关闭了被黑客入侵的路由器僵尸网络
一项国际联合执法行动关闭了两项服务,这些服务被指控向网络犯罪分子提供由被黑客入侵的联网设备(包括路由器)组成的僵尸网络。美国检察官还起诉了四名被控入侵这些设备并运行僵尸网络的人员。
周三,Anyproxy 和 5Socks 的网站主页被执法机构替换,并发布通知称,这两家公司已被美国联邦调查局(FBI)查封,这是一项名为“月球登陆行动”(Operation Moonlander)的执法行动的一部分。通知称,此次执法行动由美国联邦调查局、荷兰国家警察局(Politie)、美国俄克拉荷马州北区检察官办公室和美国司法部联合实施。
随后,美国检察官于周五宣布捣毁该僵尸网络,并起诉三名俄罗斯人:阿列克谢·维克托罗维奇·切尔特科夫 (Alexey Viktorovich Chertkov)、基里尔·弗拉基米罗维奇·莫罗佐夫 (Kirill Vladimirovich Morozov)、亚历山大·亚历山德罗维奇·希什金 (Aleksandr Aleksandrovich Shishkin) 以及哈萨克斯坦公民德米特里·鲁布佐夫 (Dmitriy Rubtsov)。这四人被控以提供合法代理服务的名义运营 Anyproxy 和 5Socks 并从中牟利,但检察官称这些服务实际上是在被黑客入侵的路由器上构建的。
根据目前尚未公开的起诉书,切尔特科夫、莫罗佐夫、鲁布托索夫和希什金均居住在美国境外,他们针对存在已知漏洞的旧款无线互联网路由器发动攻击,导致“数千台”此类设备遭入侵。
根据他们的网站和收费机构的信息,在控制了这些路由器之后,这四个人就开始在 Anyproxy 和 5Socks 上出售僵尸网络的访问权限,而这两项服务自 2004 年以来一直活跃。
代理网络本身并不违法;这些服务通常用于向客户提供IP地址,以便访问受地理限制的内容或绕过政府审查。然而,美国司法部称,Anyproxy和5Socks涉嫌通过感染数千台易受攻击的联网设备,并有效地将其转变为网络犯罪分子使用的僵尸网络,从而构建了其代理网络(其中一些由住宅IP地址构成)。
起诉书中写道:“这样一来,僵尸网络用户的互联网流量似乎来自分配给受感染设备的 IP 地址,而不是分配给用户实际用于进行在线活动的设备的 IP 地址。”
起诉书补充道:“通过 5Socks 行动的共谋者在社交媒体和在线论坛(包括网络犯罪论坛)上公开宣传 Anyproxy 僵尸网络是一种住宅代理服务。此类住宅代理服务对犯罪分子在实施网络犯罪时提供匿名性尤为有用;与商业 IP 地址相比,住宅 IP 地址通常更有可能被互联网安全服务视为合法流量。”
根据美国司法部的新闻稿,这四人通过出售僵尸网络访问权限获利超过 4600 万美元。
美国联邦调查局、司法部和荷兰国家警察局均未回应置评请求。
Black Lotus Labs 的研究员 Ryan English 在域名被查封之前介绍说,这两项服务被用于多种类型的滥用,包括密码喷洒、发起分布式拒绝服务 ( DDoS ) 攻击和广告欺诈。
周五,网络安全公司 Lumen 旗下的研究团队 Black Lotus Labs发布了一份报告,称他们协助当局追踪代理网络。正如 Black Lotus 在报告中所解释的那样,该僵尸网络“旨在为网络恶意行为者提供匿名性”。
English 和他的同事确信 Anyproxy 和 5Socks 是“由相同运营商运行的相同代理池,只是名称不同”,并且“僵尸网络的主体是路由器,包括各种报废的品牌和型号”。
根据该报告,基于 Lumen 的全球网络可见性,该僵尸网络“在 80 多个国家/地区平均每周拥有约 1000 个活跃代理”。
一家追踪互联网代理服务的公司 Spur 也参与了此次行动。Spur 联合创始人 Riley Kilmer 表示,虽然 5Socks 是该公司追踪的规模较小的犯罪网络之一,但该网络“因金融诈骗而越来越受欢迎”。