En internasjonal politiaksjon har stengt proxy-tjenesten SocksEscort, som ifølge Europol og amerikanske myndigheter var bygget på et stort botnet av kompromitterte hjemmerutere og IoT-enheter.
Nettverket skal ha blitt brukt til blant annet kontoovertakelser, svindel, DDoS-angrep og annen kriminalitet der angripere skjulte opprinnelig IP-adresse bak kaprede enheter.
Hva har skjedd
US Department of Justice og Europol opplyser at infrastrukturen er tatt ned, og at kompromitterte enheter er koblet fra tjenesten. Europol anslår at over 369 000 enheter i 163 land var berørt.
Sikkerhetsselskapet Black Lotus Labs, som har fulgt nettverket, beskriver det som en stor botnet-operasjon rettet mot småkontor- og hjemmerutere.
Hvorfor dette er viktig
For sikkerhetsmiljøer viser saken at gamle problemer består: rutere og IoT-enheter med svak vedlikeholdssyklus blir fortsatt brukt som infrastruktur i profesjonell cyberkriminalitet.
For virksomheter betyr det at perimeter ikke stopper ved bedriftsnettet. Angripere kan bruke kompromitterte tredjepartsnoder globalt for å skjule aktivitet, gjøre attributt vanskeligere og målrette angrep mer presist.
Kontekst
Proxy-botnett selges som tjeneste i undergrunnen og gir angripere skalerbar anonymisering. Når slike nettverk bygges på legitime forbrukerenheter, blir det også et tillitsproblem for internettinfrastrukturen som helhet.
Hva skjer videre
Etterforskningen vil trolig flytte seg til operatører, betalingsspor og tilknyttede malware-familier. For forsvarssiden er læringen tydelig: patching, utskifting av sårbare rutere og bedre overvåkning av avvikende trafikk er fortsatt grunnleggende tiltak.