Ameriške in evropske varnostne službe so najavile obsežno operacijo proti kibernetski infrastrukturi, ki je hekerjem omogočala skrivati svojo identiteto pri internetnih goljufijah. Oblasti so v četrtek poročale, da so prekinile delovanje storitve SocksEscort, ki je bila po navedbah preiskovalcev uporabljena pri finančnih goljufijah, vključno s prevzemom računov kriptovalut.
Operacija je zajela obsežno omrežje naprav po vsem svetu. Preiskovalci so hkrati zaplenili na ducate domen, zaustavili strežnike v več državah in zamrznili milijone dolarjev v kriptovalutah, ki so bili povezani s to operacijo.
Vsebina članka:
Omrežje je okužilo stotine tisoč naprav
Po navedbah ameriškega ministrstva za pravičnost (DOJ) je delovala platforma SocksEscort kot t. i. proxy storitev, ki je zločincem omogočala prikrivati svoj pravi spletni naslov. Na ta način so lahko izvajali goljufijem podobne operacije, ne da bi bilo enostavno slediti njihovi pravi identiteti.
Preiskovalci navajajo, da je storitev ogrozila najmanj 369 tisoč usmerjevalnikov in drugih naprav, povezanih z internetom v 163 državah. Okužene naprave so bile nato uporabljene kot posredniki, preko katerih so napadalci usmerjali svojo komunikacijo in skrili svoj pravi naslov IP.
Takšne infrastrukture se v kibernetski kriminaliteti običajno uporabljajo na primer pri phishingovih napadih, bančnih goljufijah ali pri prevzemu računov na kriptovalutnih burzah.
Morda vas zanima: Kriptoprevarevalci so podkupili zaposlene X
Zločinci so plačevali anonimno s kriptovalutami
Po navedbah Europola je delovala storitev najmanj od leta 2020 in so njeni upravljavci iz nje ustvarili milijonske prihodke. Dostop do proxy omrežja so si kupci nabavljali prek plačilne platforme, ki je omogočala anonimne plačilne v kriptovalutah.
Preiskovalci ocenjujejo, da so upravljavci storitve od uporabnikov dobili najmanj pet milijonov evrov, torej približno 5,7 milijona dolarjev. Kriptovalute so v tem primeru služile kot sredstvo, ki je omogočalo relativno anonimno financiranje celotne operacije.
Policijski napad je zaplenildomene in kriptovalute
Mednarodno preiskovanje je pripeljalo do pomembnega motenja infrastrukture celotnega omrežja. Oblasti so sporočile, da se jim je uspelo zapleniti 34 internetnih domen in prekiniti delovanje približno dvajsetih strežnikov v sedmih državah. Hkrati so zamrznile približno 3,5 milijona dolarjev v kriptovalutah, povezanih s to operacijo.
Preiskovalci hkrati opozarjajo, da je bila storitev uporabljena pri vrsti finančnih goljufij. V enem od primerov, navedenih s strani ameriških tožilcev, je žrtev iz New Yorka izgubila približno milijon dolarjev v kriptovalutah.
Preberite tudi: Trust Wallet recenzija: Upravljajte svoje kriptovalute s povečano zaupanja
Zlonamerni program AVrecon je pomagal graditi infrastrukturo
Po navedbah spletnega mesta The Hacker News je bila infrastruktura SocksEscort zgrajena na zlonamernemu programu, znanem kot AVrecon. Ta je omogočal napadalcem, da okužijo spletne naprave in jih vključijo v obsežno proxy omrežje.
Delovanje tega zlonamernega programa je že prej opisala varnostna ekipa Black Lotus Labs iz podjetja Lumen Technologies, ki je njegove podrobnosti objavila julija 2023. Ravno Black Lotus Labs je zagotovila preiskovalcem pomembne tehnične informacije, ki so pomagale identificirati infrastrukturo.
Na preiskovanju je sodelovala tudi neprofitna organizacija Shadowserver Foundation, ki je zagotovila nadaljnje tehnične analize in obveščevalne informacije.
Kibernetska kriminaliteta in kriptovalute
Po navedbah varnostnih strokovnjakov primer SocksEscort kaže na širši trend zadnjih let. Kibernetska kriminaliteta je vedno bolj povezana s kriptovalutnim ekosistemom, ki lahko zaradi digitalnih transakcij služi kot orodje za financiranje nezakonitih dejavnosti.
Izvršna direktorica Europola Catherine De Bolle je v zvezi s tem opozorila, da proxy storitve podobnega tipa zagotavljajo zločincem „digitalno zaščito”, ki jim omogoča začeti napade, širiti nezakonit vsebino ali se izogniti razkritju.
Hkrati pa velja, da transparentnost blockchajna preiskovalcem pogosto omogoča slediti toku finančnih sredstev. Tudi v tem primeru se je tako uspelo identificirati in zamrzniti del kriptovalut, povezanih s to operacijo.
Ne zamudite: MadisonSix
