Демонтовано ботнет IPStorm із 23 000 проксі для шкідливого трафіку

Міністерство юстиції США оголосило, що Федеральне бюро розслідувань ліквідувало мережу та інфраструктуру проксі-служби ботнету під назвою IPStorm. IPStorm дозволив кіберзлочинцям анонімно запускати шкідливий трафік через пристрої Windows, Linux, Mac і Android по всьому світу.

У зв’язку зі справою Сергій Макінін, громадянин Росії та Молдови, визнав себе винним за трьома пунктами звинувачення в комп’ютерному шахрайстві, і тепер йому загрожує максимальне покарання у вигляді 10 років позбавлення волі. Повідомлення Міністерства юстиції описує IPStorm як проксі-ботнет, який дозволяє кіберзлочинцям, шахраям та іншим особам уникати блокувань і залишатися анонімними, направляючи свій трафік через тисячі скомпрометованих пристроїв у домівках або офісах людей.

Крім того, що жертви IPStorm несвідомо й мимоволі стали фасилітаторами кіберзлочинності, постраждали від наслідків захоплення пропускної здатності їх мережі зловмисниками та ризикували отримати більш небезпечні корисні навантаження в будь-який момент. Проксі-сервіс Makinin пропонувався через веб-сайти «proxx.io» і «proxx.net», де рекламувалося, що він надає понад 23 000 анонімних проксі-серверів по всьому світу.

«Згідно з судовими документами, принаймні з червня 2019 року по грудень 2022 року Макінін розробив і розгорнув шкідливе програмне забезпечення для злому тисяч підключених до Інтернету пристроїв по всьому світу, включно з Пуерто-Ріко», — йдеться в повідомленні Міністерства юстиції США.

«Основною метою ботнету було перетворення заражених пристроїв на проксі-сервери в рамках комерційної схеми, яка зробила доступ до цих проксі-серверів доступним через веб-сайти Makinin, proxx.io і proxx.net» — Міністерство юстиції США.

Макінін визнав, що отримав прибуток у розмірі щонайменше 550 000 доларів США від проксі-сервісів, які він продав іншим, і погодився конфіскувати криптовалютні гаманці, в яких зберігаються доходи, отримані злочинним шляхом. Операція правоохоронних органів з демонтажу ботнету IPStorm не поширилася на комп’ютери-жертви.

Розвивається з 2019 року

Технічні подробиці роботи IPStorm та його варіантів доступні у звіті  Intezer, який допомагав ФБР з інформацією про операцію з кіберзлочинності, спочатку опублікованому в жовтні 2020 року. IPStorm починався як зловмисне програмне забезпечення, націлене на Windows, яке пізніше розвинулося, щоб націлюватися на архітектури Linux, включаючи пристрої IoT на базі Android.

Його автори дотримувалися модульного підходу до проектування з різними пакетами Golang, які пропонують набір спеціальної функціональності, зберігаючи його компактним і універсальним для цільових систем. Зловмисне програмне забезпечення використовувало однорангову мережу InterPlanetary File System (IPFS), щоб приховати свою зловмисну ​​діяльність і протистояти спробам знищення інфраструктури. У ньому було представлено підбір SSH для розповсюдження на суміжні системи, антивірусний захист і механізми збереження.

Завдяки цій інфраструктурі кіберзлочинці можуть використовувати тисячі систем для маршрутизації трафіку та таким чином приховувати свої сліди. Ціна доступу до мережі IPStorm може досягати сотень доларів на місяць.

До розслідування було залучено кілька правоохоронних органів, у тому числі Групу боротьби з кібератаками Національної поліції Іспанії, Національну поліцію Домінікани – Відділ боротьби з міжнародною організованою злочинністю, Міністерство внутрішніх справ і Директорат поліції та імміграції. Джерело

error: Вміст захищено!!!
Exit mobile version