Router Botnet پایان زندگی ، 4 'هکرهای خارجی شارژ شده • ثبت نام

در اوایل این هفته ، FBI از مردمی خواست که روترهای پیری را که در معرض خطر ابتلا به ربودن قرار دارند ، با استناد به حملات مداوم مرتبط با بدافزارها ، آسیب پذیر کنند. در اقدامی مرتبط ، وزارت دادگستری ایالات متحده کیفرخواست های مربوط به چهار اتباع خارجی را که متهم به اداره یک شبکه طولانی مدت برای استخدام هستند که از روترهای منسوخ شده برای ترافیک جنایتکار سوء استفاده می کردند ، ناپدید کرد.

در یک بولتن فلش [PDF] روز چهارشنبه ، FBI هشدار داد که روترهای پیری از Linksys ، Ericsson و Cisco ، که معمولاً در خانه ها و مشاغل کوچک یافت می شود ، به طور جدی توسط مجرمان سایبری مورد هدف قرار می گرفتند.

این دستگاه ها ، که از پنجره بروزرسانی خود گذشته است ، به عنوان بخشی از یک شبکه پروکسی جنایی که از طریق دامنه های 5Socks و Anyproxy به بازار عرضه شده بودند ، به خطر افتادند و برای فروش در دسترس قرار گرفتند. به گفته محققان فدرال و محققان امنیتی ، Botnet برای کاربران مخرب ناشناس بودن را برای کاربران مخرب فراهم کرده و طیف وسیعی از جرایم سایبری ، از جمله حملات توزیع خدمات (DDOS) را فعال کرده است.

در اینجا روترهای قدیمی گرد و غبار که باید مراقب آن باشید:

• Linksys E1200 ، E2500 ، E1000 ، E4200 ، E1500 ، E300 ، E3200 ، E1550 و WRT320N ، WRT310N ، WRT610N کیت
• روتر E100 Ericsson Cradlepoint E100
• Cisco Valet M10

کیفرخواست وزارت دادگستری که در روز جمعه صادر شد ، جزئیات بیشتری در مورد نحوه عملکرد بات نت ها ارائه داد. این کیفرخواست ادعا می کند که اپراتورهایی بین 9.95 تا 110 دلار در ماه برای دسترسی به آنچه ادعا می کردند بیش از 7000 پروکسی مسکونی بوده است ، ادعا می کند. دادستان ها معتقدند که این طرح بیش از 46 میلیون دلار به دست آمده است ، با این که وب سایت با افتخار “از سال 2004 کار کرده بود!”

دیگر نیست ، از آنجا که دامنه در حال انجام حملات در آنچه فدرال ها به نام Operation Moonlander می نامند ، توقیف شده است.

شما pwned شده اید- برای بزرگنمایی کلیک کنید

یک FBI PSA جداگانه صادر شده چهارشنبه ، موجی از عفونت های روتر را با استفاده از بدافزار مضمون ، مطابق با زمان توقیف دامنه ، شرح داد. Themoon ، که برای اولین بار در سال 2014 مشخص شد ، به دلیل آلوده کردن روترها از طریق درگاه های باز و اسکریپت های آسیب پذیر بدنام است. در مارس 2024 ، بیش از 6000 روتر ایسوس در کمتر از 72 ساعت به عنوان بخشی از یک کمپین ساخت پراکسی به خطر افتاد.

FBI PSA توضیح می دهد: “Themoon نیازی به رمز عبور برای آلوده کردن روترها ندارد ؛ این درگاه های باز را اسکن می کند و دستور را به یک اسکریپت آسیب پذیر می فرستد.” “بدافزار با سرور فرمان و کنترل (C2) تماس می گیرد و سرور C2 با دستورالعمل ها پاسخ می دهد ، که ممکن است شامل آموزش دستگاه آلوده برای اسکن سایر روترهای آسیب پذیر برای گسترش عفونت و گسترش شبکه باشد.”

سه تبعه روسی – الکسی ویکتوویچ چرتکوف ، 37 ساله ، کیریل ولادیمیروویچ موروزوف ، 41 ساله ، الکساندر الکساندروویچ شیشکین ، 36 ساله و یک همکار قزاقستان دیمیتری روتسوف ، 38 – در روز جمعه نامگذاری شدند. Chertkov و Rubtsov همچنین هنگام ثبت نام دامنه های مورد استفاده برای بهره برداری از خدمات پروکسی ، اطلاعات ثبت نام کاذب را ارائه دادند.

کیفرخواست نتیجه یک عملیات ترکیبی بین اجرای قانون اروپا و ایالات متحده و همچنین با پشتیبانی از آزمایشگاه های سیاه لوتوس لومن است. اپراتورها از روترهای منسوخ بهره برداری کردند و یک ردپای عملیاتی نسبتاً کم – با وجود دسترسی تبلیغاتی به هزاران پروکسی – برای جلوگیری از تشخیص ، حفظ کردند.

این فروشگاه امنیت می گوید: “اپراتورهای Botnet ادعا می کنند که آنها روزانه بیش از 7000 پروکسی را حفظ می کنند. بر اساس تله متری Labs Labs Black ، ما می توانیم به طور متوسط ​​حدود 1000 پروکسی فعال هفتگی در بیش از 80 کشور را ببینیم ، اما ما معتقدیم که جمعیت ربات واقعی آنها کمتر از تبلیغات برای کاربران بالقوه است.” ®