Das US-Justizministerium hat bestätigt, dass es die Infrastruktur eines russischen Botnetzes beschlagnahmt und demontiert hat, mit dem weltweit Millionen von Geräten zur Verwendung als Proxy-Server gekapert wurden.
Nach an Staatsanwältestellte Rsocks seinen Web-Proxy-Dienst bereit, der von namentlich nicht genannten russischen Cyberkriminellen betrieben wird, indem es sich in Millionen von Computern, Smartphones und Internet-of-Things-Geräten hackte und sie in unwissentliche Proxy-Server umwandelte, sodass zahlende Kunden die IP-Adressen der kompromittierten Geräte ohne dies verwenden konnten Erlaubnis oder das Wissen der Eigentümer.
Rsocks eigen Twitter-Konto behauptete Zugriff auf mehr als acht Millionen private Geräte und mehr als eine Million mobile IPs.
Proxy-Dienste, die nicht von Natur aus illegal oder illegal sind, stellen ihren Kunden gegen eine Gebühr IP-Adressen zur Verfügung, um beispielsweise die Zensur zu umgehen oder auf Inhalte zuzugreifen, die für eine bestimmte Region geoblockt sind. Aber laut Staatsanwälten hat sich Rsocks angeblich in Millionen von Geräten gehackt, indem es Brute-Force-Angriffe durchgeführt hat.
Kunden konnten auf eine webbasierte „Storefront“ zugreifen, wo sie den Zugang zu Proxys für einen bestimmten Zeitraum mieten konnten. Nach dem Kauf kann der Kunde eine Liste mit IP-Adressen und Ports herunterladen, die einem oder mehreren Backend-Servern des Botnets zugeordnet sind, und dann schädlichen Internetverkehr durch die kompromittierten Geräte leiten, um die wahre Quelle des Datenverkehrs zu maskieren oder zu verbergen.
„Es wird angenommen, dass die Benutzer dieser Art von Proxy-Diensten groß angelegte Angriffe gegen Authentifizierungsdienste durchgeführt haben, die auch als Credential Stuffing bekannt sind, und sich beim Zugriff auf kompromittierte Social-Media-Konten anonymisiert oder böswillige E-Mails wie Phishing-Nachrichten gesendet haben“, so die sagte das Justizministerium in einer Pressemitteilung, in der es den erfolgreichen Abbau der Infrastruktur des Botnetzes ankündigte.
FBI-Ermittler nutzten verdeckte Käufe, um Zugriff auf das Rsocks-Botnet zu erhalten, um dessen Backend-Infrastruktur und Opfer zu identifizieren. Der anfängliche Undercover-Kauf Anfang 2017 identifizierte etwa 325.000 kompromittierte Opfergeräte, hauptsächlich in den Vereinigten Staaten.
Neben Privatunternehmen und Privatpersonen sind mehrere große öffentliche und private Einrichtungen Opfer des Rsocks-Botnetzes geworden, so die Staatsanwaltschaft, darunter eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller – sowie Privathaushalte und kleine Unternehmen.
„Cyberkriminelle werden der Justiz nicht entkommen, egal wo sie operieren“, sagte US-Staatsanwalt Randy Grossman. In Zusammenarbeit mit öffentlichen und privaten Partnern auf der ganzen Welt werden wir sie unerbittlich verfolgen und dabei alle uns zur Verfügung stehenden Mittel einsetzen, um ihre Bedrohungen zu zerschlagen und die Verantwortlichen strafrechtlich zu verfolgen.“
Das Rsocks-Botnetz ist das zweite seiner Art, das kürzlich von US-Behörden demontiert wurde. Im April enthüllte eine FBI-Operation, dass es ein anderes Botnet namens Cyclops Blink gestört hatte, das von einer Gruppe von Hackern betrieben wurde, die für Russlands GRU, den militärischen Geheimdienst des Landes, arbeiteten.