Правоохранительные органы США и Европы при поддержке частных партнеров ликвидировали киберпреступную прокси-сеть SocksEscort, которая использовала устройства, зараженные вредоносным ПО AVRecon для Linux. Сеть работала более десяти лет, предлагая доступ к IP-адресам крупных провайдеров. — bleepingcomputer.com
Правоохранительные органы США и Европы совместно с частными партнерами пресекли деятельность киберпреступной прокси-сети SocksEscort, которая использовала исключительно периферийные устройства, скомпрометированные вредоносным ПО AVRecon для Linux.
По данным Black Lotus Labs (BLL) компании Lumen, которая содействовала Министерству юстиции США в ликвидации Socksescort, прокси-сеть на протяжении последних нескольких лет еженедельно насчитывала в среднем 20 000 зараженных устройств.
SocksEscort впервые была задокументирована исследователями BLL в 2023 году и функционировала более десяти лет, предлагая киберпреступникам услуги маршрутизации трафика через устройства частных лиц или малого бизнеса.
Сервис рекламировал доступ к «чистым» IP-адресам от крупных интернет-провайдеров — таких как Comcast, Spectrum, Spectrum Business, Verizon и Charter, — которые могли проходить через многочисленные списки блокировок.
“С лета 2020 года SocksEscort предлагала доступ примерно к 369 000 различных IP-адресов”, — говорится в сегодняшнем пресс-релизе Министерства юстиции США.
“По состоянию на февраль 2026 года в приложении SocksEscort было указано около 8 000 зараженных маршрутизаторов, доступ к которым могли приобрести клиенты; из них 2 500 находились в Соединенных Штатах”.
Минюст США сообщает, что сервис SocksEscort использовался для кражи криптовалюты на сумму 1 миллион долларов у пользователя в Нью-Йорке, способствовал убыткам в размере 700 000 долларов в результате мошенничества в отношении производственного предприятия из Пенсильвании и нанес ущерб в размере 100 000 долларов в результате мошеннической схемы, затронувшей действующих и бывших военнослужащих США с картами MILITARY STAR.
В Европе власти Австрии, Франции и Нидерландов при координации Европола вывели из строя несколько серверов SocksEscort.
“В день проведения операции правоохранительные органы успешно вывели из строя и изъяли 34 домена, а также 23 сервера, расположенных в семи странах”, — информирует Европейское агентство. США также заморозили криптовалюту на сумму 3,5 миллиона долларов.
На данный момент все зараженные устройства, использовавшиеся в прокси-сети SocksEscort, отключены от сервиса.
По данным исследователей Lumen, работа SocksEscort обеспечивалась вредоносным ПО AVRecon, которое, как полагают, активно с мая 2021 года и к середине 2023 года заразило более 70 000 маршрутизаторов SOHO (для малого офиса/домашнего офиса) на базе Linux.
Исследователи Lumen нарушили работу ботнета маршрутизаторов AVRecon в 2023 году, направив трафик командно-управляющей (C2) инфраструктуры по нулевому маршруту в своей сети, что отрезало зараженные устройства от их операторов.
Это прервало связь с прокси-серверами и управляющими узлами ботнета, фактически сделав сеть инертной в инфраструктуре Lumen.
Однако это вмешательство имело ограниченный эффект, и со временем операторы Socksescort возобновили нормальную работу, направляя трафик через 15 командно-управляющих узлов (C2).
Представитель Lumen сообщил BleepingComputer, что SocksEscort использовала только вредоносное ПО AVRecon для добавления новых узлов. С начала 2025 года компания зафиксировала 280 000 уникальных IP-адресов жертв.
Исследователи полагают, что вредоносное ПО AVRecon использовалось исключительно для расширения SocksEscort, поскольку замеченные IP-адреса жертв не фигурировали в других ботнетах или сервисах. Кроме того, несмотря на значительные масштабы операции, операторам удалось сохранить C2-инфраструктуру незамеченной.
Более половины зараженных устройств находились в Соединенных Штатах и Великобритании, по данным исследователей, что идеально подходит для маршрутизации вредоносного трафика и обхода списков блокировок.
Ранее на этой неделе Black Lotus Labs раскрыла информацию о другом проксирующем ботнете под названием KadNap, который нацелен преимущественно на маршрутизаторы ASUS и другие периферийные сетевые устройства.
С августа 2025 года ботнет заразил 14 000 устройств, используя новый, но несовершенный механизм связи и обнаружения пиров на основе протокола Kademlia Distributed Hash Table (DHT).
Lumen предприняла ограниченные действия против этого ботнета, заблокировав весь сетевой трафик к его C2-инфраструктуре и от нее в сети Lumen, что помешало зараженным устройствам связываться с контроллерами ботнета.
Чтобы минимизировать вероятность компрометации маршрутизатора, заменяйте модели, достигшие конца срока службы, применяйте последние доступные обновления прошивки, меняйте пароль администратора по умолчанию и отключайте панели удаленного доступа, если они не требуются.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas