Americké a evropské bezpečnostní složky oznámily rozsáhlou operaci proti kybernetické infrastruktuře, která umožňovala hackerům skrývat svou identitu při internetových podvodech. Úřady ve čtvrtek uvedly, že narušily fungování služby SocksEscort, která byla podle vyšetřovatelů využívána při finančních podvodech včetně převzetí kryptoměnových účtů.
Operace zasáhla rozsáhlou síť zařízení po celém světě. Vyšetřovatelé zároveň zabavili desítky domén, odstavili servery v několika zemích a zmrazili miliony dolarů v kryptoměnách, které byly s operací spojeny.
Obsah článku:
Síť infikovala stovky tisíc zařízení
Podle amerického ministerstva spravedlnosti (DOJ) fungovala platforma SocksEscort jako tzv. proxy služba, která zločincům umožňovala maskovat jejich skutečnou internetovou adresu. Díky tomu mohli provádět podvodné operace, aniž by bylo snadné dohledat jejich skutečnou identitu.
Vyšetřovatelé uvádějí, že služba kompromitovala nejméně 369 tisíc routerů a dalších zařízení připojených k internetu ve 163 zemích. Infikovaná zařízení byla následně využívána jako prostředníci, přes které útočníci směrovali svou komunikaci a skrývali svou skutečnou IP adresu.
Takové infrastruktury jsou v kybernetické kriminalitě běžně využívány například při phishingových útocích, bankovních podvodech nebo při převzetí účtů na kryptoměnových burzách.
Mohlo by se Vám líbit: Kryptopodvodníci upláceli zaměstnance X
Zločinci platili anonymně kryptoměnami
Podle Europolu fungovala služba minimálně od roku 2020 a její provozovatelé z ní získali milionové příjmy. Přístup k proxy síti si zákazníci kupovali prostřednictvím platební platformy, která umožňovala anonymní platby v kryptoměnách.
Vyšetřovatelé odhadují, že provozovatelé služby získali od uživatelů nejméně pět milionů eur, tedy přibližně 5,7 milionu dolarů. Kryptoměny v tomto případě sloužily jako prostředek, který umožňoval relativně anonymní financování celé operace.
Zásah policie zabavil domény i kryptoměny
Mezinárodní vyšetřování vedlo k výraznému narušení infrastruktury celé sítě. Úřady uvedly, že se jim podařilo zabavit 34 internetových domén a narušit provoz zhruba dvou desítek serverů ve sedmi zemích. Současně zmrazily přibližně 3,5 milionu dolarů v kryptoměnách spojených s operací.
Vyšetřovatelé zároveň upozorňují, že služba byla využívána při celé řadě finančních podvodů. V jednom z případů citovaných americkými prokurátory přišla oběť z New Yorku o zhruba jeden milion dolarů v kryptoměnách.
Čtěte také: Trust Wallet recenze: Ovládněte své kryptoměny s důvěrou
Malware AVrecon pomáhal budovat infrastrukturu
Podle serveru The Hacker News byla infrastruktura SocksEscort postavena na malwaru známém jako AVrecon. Ten umožňoval útočníkům kompromitovat internetová zařízení a zapojit je do rozsáhlé proxy sítě.
Fungování tohoto malwaru už dříve popsal bezpečnostní tým Black Lotus Labs ze společnosti Lumen Technologies, který jeho detaily zveřejnil v červenci 2023. Právě Black Lotus Labs poskytly vyšetřovatelům důležité technické informace, které pomohly infrastrukturu identifikovat.
Na vyšetřování se podílela také nezisková organizace Shadowserver Foundation, která poskytla další technickou analýzu a zpravodajské informace.
Kyberkriminalita a kryptoměny
Podle bezpečnostních expertů ukazuje případ SocksEscort širší trend posledních let. Kybernetická kriminalita je stále častěji propojena s kryptoměnovým ekosystémem, který může díky digitálním transakcím sloužit jako nástroj financování ilegálních aktivit.
Výkonná ředitelka Europolu Catherine De Bolle v této souvislosti upozornila, že proxy služby podobného typu poskytují zločincům „digitální krytí“, které jim umožňuje zahajovat útoky, šířit nelegální obsah nebo se vyhýbat odhalení.
Současně ale platí, že transparentnost blockchainu často umožňuje vyšetřovatelům sledovat tok finančních prostředků. I v tomto případě se tak podařilo část kryptoměn spojených s operací identifikovat a zmrazit.
Nenechte si ujít: MadisonSix
