Chiến dịch quốc tế triệt phá mạng botnet từ hàng chục nghìn router bị hack

Lực lượng chức năng triệt phá botnet gồm hàng chục nghìn router bị hack

Một liên minh toàn cầu gồm các cơ quan thực thi pháp luật đã triệt phá một botnet được tạo thành từ hàng chục nghìn router gia đình và doanh nghiệp nhỏ bị hack vào thứ Tư. Chiến dịch nhắm mục tiêu vào SocksEscort, một dịch vụ proxy trả phí được xây dựng trên một botnet gồm các router bị hack được sử dụng để thực hiện nhiều tội ác khác nhau, chẳng hạn như hack vào tài khoản ngân hàng và tiền điện tử của nạn nhân, và nộp các yêu cầu bảo hiểm thất nghiệp gian lận, theo thông báo được Bộ Tư pháp công bố hôm thứ Năm. Bộ Tư pháp cho biết các tội ác do SocksEscort tạo điều kiện đã gây thiệt hại hàng triệu đô la cho người Mỹ.

Europol cho biết trong thông báo về chiến dịch rằng botnet SocksEscort bị cáo buộc đã xâm nhập hơn 369.000 router và thiết bị Internet of Things tại 163 quốc gia và các router bị nhiễm bệnh “đã bị ngắt kết nối khỏi dịch vụ”. Cơ quan thực thi pháp luật cho biết SocksEscort đã được sử dụng để tạo điều kiện cho ransomware, các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và phân phối tài liệu lạm dụng tình dục trẻ em (CSAM).

“Khách hàng của dịch vụ tội phạm đã trả tiền để được cấp phép lạm dụng các thiết bị bị nhiễm bệnh này, che giấu địa chỉ IP ban đầu của họ để tham gia vào các hoạt động tội phạm khác nhau”, Europol cho biết. “Sau khi bị nhiễm phần mềm độc hại, chủ sở hữu modem sẽ không biết rằng địa chỉ IP của họ đã bị sử dụng cho các hoạt động bất hợp pháp.”

Nội dung của trang web chính thức của SocksEscort đã được thay thế bằng một thông báo về việc tịch thu, như một phần của hoạt động thực thi pháp luật. Botnet này bao gồm khoảng 280.000 router kể từ tháng 1 năm ngoái và được cung cấp bởi phần mềm độc hại có tên AVRecon, theo công ty an ninh mạng Black Lotus Labs, công ty đã theo dõi SocksEscort và hợp tác với cơ quan thực thi pháp luật trong chiến dịch triệt phá. “Botnet này gây ra mối đe dọa đáng kể, vì nó được tiếp thị độc quyền cho tội phạm,” công ty viết trong bài đăng của mình về vụ triệt phá. “Đáng chú ý, hơn một nửa số nạn nhân của nó nằm ở Hoa Kỳ hoặc Vương quốc Anh, cho phép những kẻ tấn công thực hiện các hoạt động có mục tiêu cao.”

Vào năm 2023, Black Lotus Labs gọi SockEscort là “một trong những botnet lớn nhất nhắm mục tiêu vào các router văn phòng nhỏ/tại nhà (SOHO) được thấy trong lịch sử gần đây.” Vào thời điểm đó, nhà báo an ninh mạng Brian Krebs báo cáo rằng SocksEscort ra đời vào năm 2009 với tư cách là một dịch vụ bằng tiếng Nga bán quyền truy cập vào hàng nghìn máy tính bị hack.

Lorenzo Franceschi-Bicchierai là một Biên tập viên Cao cấp tại TechCrunch, nơi ông đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh phạm vi tiếp cận từ Lorenzo bằng cách gửi email đến lorenzo@techcrunch.com, thông qua tin nhắn được mã hóa tại +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.