Russische botnet uitgeschakeld door autoriteiten VS

Het Amerikaanse ministerie van Justitie (DoJ) heeft, in samenwerking met politiediensten in Duitsland, Nederland en het VK de Russische botnet RSOCKS stilgelegd. naar verluidt zouden er miljoenen computers en andere digitale devices wereldwijd gecompromitteerd zijn door de botnet.

Het RSOCKS-botnet functioneerde als een IP-proxyservice. In plaats van legitieme IP-adressen aan te bieden die waren geleased van internetserviceproviders, verschafte het criminelen echter toegang tot de IP-adressen van apparaten die waren aangetast door malware, aldus de betrokken Amerikaanse procureur van het zuidelijke district van Californië tegenover The Register.

Geleidelijk uitgebreid

RSOCKS heeft zich aanvankelijk gericht op een verscheidenheid aan Internet of Things (IoT)-apparaten, zoals industriële besturingssystemen, routers, audio-/videostreamingapparaten en verschillende op het internet aangesloten apparaten. Geleidelijk aan breidde het uit andere endpoints, zoals Android-apparaten en computersystemen.

Volgens de procureur zijn de RSOCKS-botnetoperators erin geslaagd om devices te compromitteren door simpelweg brute force-aanvallen uit te voeren in plaats van te profiteren van kwetsbaarheden in de softwarebeveiliging.

Beveiligingsexperts en analisten waarschuwen al vele jaren voor de risico's van IoT-apparaten. Vooral als ze gericht op consumenten, die waarschijnlijk niet veel weten of veel geven over beveiligingsinstellingen of het zo snel mogelijk toepassen van software-updates.

Volgens het DoJ konden cybercriminelen die het RSOCKS-platform wilden gebruiken, toegang krijgen tot een webportal waarmee ze voor een bepaalde periode konden betalen voor toegang tot een pool van proxy's. De prijzen varieerden van 30 dollar per dag voor toegang tot 2.000 devices tot 200 dollar per dag voor toegang tot 90.000 devices.

Illegale activiteiten

Het DoJ stelt dat gebruikers van RSOCKS verschillende illegale activiteiten uitvoerden, waaronder aanvallen op authenticatiediensten via het opvullen van inloggegevens, of het verzenden van kwaadaardige e-mail zoals phishing-berichten.

Het lijkt erop dat FBI-onderzoekers de eenvoudige tactiek van het kopen van toegang tot RSOCKS gebruikten om binnen te komen en de backend-infrastructuur en de slachtoffers te identificeren. De eerste undercoveroperatie was al in 2017 en identificeerde ongeveer 325.000 gecompromitteerde apparaten over de hele wereld.

Volgens het DoJ waren onder de slachtoffers van het RSOCKS-botnet een aantal grote openbare en particuliere organisaties, waaronder een universiteit, een hotel, een televisiestudio en een elektronicafabrikant, evenals thuisbedrijven en talrijke individuen.