Europol a pět zemí zlikvidovali proxy síť SocksEscort: 369 000 kompromitovaných zařízení ve 163 zemích
Mezinárodní policejní operace s kódovým názvem Lightning rozložila infrastrukturu kriminální proxy sítě SocksEscort, která od roku 2020 nabízela anonymizaci internetového provozu pro kybernetické zločince na celém světě. Operaci koordinoval Europol a zúčastnily se jí orgány z Rakouska, Francie, Nizozemska a Spojených států spolu s Eurojustem.
SocksEscort fungovala jako komerčně provozovaná proxy služba – ale s podstatným rozdílem oproti legálním VPN nebo anonymizačním sítím: kompromitovaná zařízení, jejichž IP adresy byly zákazníkům pronajímány, do sítě nevstoupila dobrovolně. Šlo o domácí a firemní routery infikované malwarem AVrecon, který se šíří zneužíváním kritických zranitelností a slabých přihlašovacích údajů v zařízeních od výrobců jako Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link nebo Zyxel. Majitelé napadených zařízení o kompromitaci zpravidla nevěděli.
Síť v době dismantlování čítala přibližně 369 000 aktivních IP adres v 163 zemích. V Rakousku bylo identifikováno přes 700 obětí, jejichž zařízení byla součástí botnetu. Zákazníci SocksEscort si přístup k těmto IP adresám pronajímali za účelem zakrytí původu vlastní škodlivé aktivity: operátoři ransomwaru využívali síť k maskování příkazové a řídicí komunikace, útočníci vedli přes ni DDoS útoky, provozovatelé podvodných schémat jí zakrývali finanční transakce a část provozu sloužila k distribuci materiálů sexuálního zneužívání dětí.
V rámci operace bylo zabaveno 34 domén a 23 serverů rozmístěných v sedmi zemích. Americké úřady zároveň zmrazily kryptoměnová aktiva v hodnotě 3,5 milionu dolarů. Podle Europolu šetření odhalilo, že síť generovala desítky milionů dolarů příjmů za dobu svého provozu a stojí za škodami v řádu stovek milionů dolarů ve prospěch zákazníků, kteří ji k páchání trestné činnosti využívali.
Z technického hlediska je případ zajímavý zejména proto, že AVrecon malware cílil výhradně na tzv. SOHO routery – zařízení určená pro domácí kanceláře a malé firmy. Tyto routery stojí na periferii síťové infrastruktury, bývají nasazeny jednou a po léta fungují bez aktualizací nebo monitorování. Nejsou chráněny firemními bezpečnostními nástroji a vlastníci je zpravidla nepovažují za součást aktivního útočného povrchu. Přitom mají zpravidla trvalou a stabilní IP adresu, která je pro provozovatele anonymizačních sítí velmi ceněná právě pro svou nenápadnost v síťovém provozu.
Likvidace SocksEscort neznamená konec tohoto typu kriminální infrastruktury. Podobné služby existují souběžně a nové vznikají s využitím automatizovaných nástrojů pro skenování a kompromitaci zranitelných zařízení. Nicméně rozsah operace Lightning – pět zemí, Europol, Eurojust, zmrazení aktiv – signalizuje, že mezinárodní orgány přistupují k SOHO botnetům jako ke kritické kriminální infrastruktuře a jsou ochotny investovat kapacity odpovídající operacím proti ransomwarovým skupinám.
Pro správce sítí a bezpečnostní týmy případ připomíná praktický problém: periferní síťová zařízení – routery, firewally nižší třídy, IoT brány – patří do inventáře spravovaných aktiv a do procesů správy záplat stejně jako servery nebo pracovní stanice. Zařízení od výrobců zmíněných v tomto případě jsou v českém podnikovém i domácím prostředí rozšířená a jejich firmwarová bezpečnost je opakovaně předmětem varování NÚKIB i CISA.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 12
Europol a pět zemí zlikvidovali proxy síť SocksEscort: 369 000 kompromitovaných zařízení ve 163 zemích
