Đánh sập dịch vụ Anyproxy và 5socks được điều khiển bởi một mạng lưới Botnet trên toàn cầu

Mới đây, Bộ Tư pháp Hoa Kỳ (DOJ) và nhóm bảo mật Black Lotus Labs của công ty viễn thông Lumen Technologies (Hoa Kỳ) đã công bố về việc triệt phá hai dịch vụ proxy được điều khiển bởi một mạng lưới Botnet gồm hàng nghìn thiết bị bị tấn công.

DOJ đã phối hợp với Black Lotus Labs, cảnh sát Hà Lan và Thái Lan để phá hủy các dịch vụ proxy có tên là “Anyproxy” và “5socks”. Các tên miền của của hai dịch vụ này đã bị đánh sập, bên cạnh đó, nhóm bảo mật Black Lotus Labs đã phá vỡ cơ sở hạ tầng bằng cách định tuyến vô hiệu hóa tất cả lưu lượng đến và đi từ các điểm kiểm soát đã biết.

DOJ cũng đã công bố một bản cáo trạng buộc tội bốn cá nhân về vai trò bị cáo buộc của họ trong việc điều hành các dịch vụ trên. Có ba nghi phạm là công dân Nga, bao gồm: Alexey Viktorovich Chertkov (37 tuổi), Kirill Vladimirovich Morozov (41 tuổi) và Aleksandr Aleksandrovich Shishkin (36 tuổi). Nghi phạm thứ tư là công dân Kazakhstan Dmitriy Rubtsov, 38 tuổi. Những nghi phạm này vẫn đang lẩn trốn và vẫn chưa biết liệu họ có bị truy tố tại Hoa Kỳ hay không.

Các nghi phạm bị cáo buộc sử dụng các lỗ hổng đã biết để kiểm soát hàng nghìn Router home và thiết bị IoT lỗi thời. Các tác nhân đe dọa đã triển khai mã độc cho phép chúng lạm dụng các thiết bị cho các dịch vụ proxy, có thể được sử dụng để thực hiện các hoạt động độc hại mà không bị phát hiện.

Các dịch vụ proxy dân cư (residential proxy) có thể được sử dụng để thực hiện các chiến dịch lừa đảo quảng cáo, tấn công bằng cách sử dụng Brute Force, tấn công từ chối dịch vụ phân tán (DDoS) và lợi dụng dữ liệu người dùng bị xâm phạm. Các nhà nghiên cứu Black Lotus Labs giải thích: “Xét theo phạm vi nguồn, chỉ có khoảng 10% được phát hiện là độc hại trong các công cụ phổ biến như VirusTotal, nghĩa là chúng luôn tránh được các công cụ giám sát mạng với mức độ thành công cao”.

Được biết, trang web 5socks đã tồn tại hơn 20 năm, nhưng chỉ trong những năm gần đây mới được các cơ quan chức năng và lực lượng an ninh mạng chú ý. Trang web này quảng cáo hơn 7.000 proxy trên toàn thế giới với mức giá dao động từ 10 đến 110 USD (bằng tiền điện tử) mỗi tháng. Những nghi phạm người Nga và Kazakhstan được cho là đã kiếm được hơn 46 triệu USD thông qua việc cho thuê các thiết bị bị tấn công.

Trong khi trang web 5socks quảng cáo 7.000 proxy, Black Lotus Labs cho biết khoảng 1.000 proxy hoạt động hàng tuần trên hơn 80 quốc gia. Tuy nhiên, hơn một nửa số nạn nhân được phát hiện ở Hoa Kỳ. Bằng cách nhắm vào các thiết bị đã hết vòng đời (EOL), tội phạm mạng có thể chiếm được bot mà không cần khai thác lỗ hổng zero-day hoặc one-day.

Thời gian gần đây, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra cảnh báo người dùng về nguy cơ Router EOL bị tấn công và lạm dụng làm máy chủ proxy. Cơ quan này đã chia sẻ TheMoon như một ví dụ về phần mềm độc hại được sử dụng trong các cuộc tấn công như vậy.

Theo DOJ và Black Lotus Labs, các tên miền Anyproxy[.]net và 5socks[.]net được quản lý bởi một công ty có trụ sở tại Virginia (Hoa Kỳ) và các trang web được lưu trữ trên các máy chủ trên toàn thế giới. Cơ sở máy chủ điều khiển và ra lệnh nằm ở Thổ Nhĩ Kỳ.

Black Lotus Labs cũng đã chia sẻ các chỉ số về sự xâm phạm (IoC) liên quan đến mối đe dọa này, cũng như các khuyến nghị cho người dùng và các quản trị viên công nghệ thông tin. Quý độc giả có thể theo dõi chi tiết thông tin này tại đây.