SocksEscort kiberbűnözői proxy-szolgáltatás felszámolása
Az Europol és több nemzetközi bűnüldöző szerv összehangolt műveletben felszámolta a SocksEscort kiberbűnözői proxy-szolgáltatást, amelyet világszerte különböző online bűncselekmények támogatására használtak. A szolgáltatás egy nagyméretű botnetre épült, amely feltört otthoni és kisvállalati routereket, illetve IoT-eszközöket használt fel internetes forgalom átirányítására, lehetővé téve a támadók számára, hogy elrejtsék valódi IP-címüket és földrajzi helyzetüket.
A nyomozás során a hatóságok megállapították, hogy a szolgáltatás mögött álló infrastruktúra több százezer kompromittált eszközre épült. A rendszer 2020 óta mintegy 369 000 különböző IP-címet kínált eladásra, és 2026 elején még mindig körülbelül 8 000 fertőzött router volt aktívan elérhető a hálózatban. A botnet alapját az AVRecon nevű Linux-alapú malware képezte, amely kifejezetten hálózati eszközök kompromittálására készült.
A SocksEscort szolgáltatás lényege az úgynevezett rezidenciális proxy-infrastruktúra biztosítása volt. Az ügyfelek, jellemzően kiberbűnözők fizettek azért, hogy az internetes tevékenységüket a kompromittált routereken keresztül irányíthassák. Ez lehetővé tette számukra, hogy legitim internetszolgáltatók IP-címeit használják, ami megnehezítette a blokkolást és a nyomozást. A hozzáférést különböző bűncselekményekhez használták fel, például banki és kriptovaluta-fiókok feltöréséhez, online csalásokhoz vagy hamis munkanélküli-segély igénylésekhez, amelyek összesen több millió dolláros kárt okoztak.
A nemzetközi művelet során több ország hatóságai – köztük európai és amerikai szervek, 34 domainnevet és 23 szervert foglaltak le, valamint számos vezérlőinfrastruktúrát deaktiváltak. Az akcióban több állam bűnüldöző szervei, az Europol és különböző kiberbiztonsági kutatócsoportok is részt vettek. A hatóságok szerint az összes azonosított fertőzött eszközt leválasztották a szolgáltatásról, így a botnet működése megszűnt.
