ASocks botnet felszámolása
A holland rendőrség és a holland Nemzeti Kiberbiztonsági Központ (NCSC) közös művelet keretében felszámolt egy rendkívül nagy méretű botnet-infrastruktúrát, amely legalább 17 millió kompromittált eszközt irányított világszerte. A nyomozás során mintegy 200, Hollandiában üzemelő szervert azonosítottak, amelyek a botnet vezérlő- és menedzsment infrastruktúráját biztosították. A szerverek egy részét lefoglalták, a hosting szolgáltató pedig lekapcsolta a fennmaradó infrastruktúrát.
A botnet számítógépeket, okostelefonokat, tableteket, routereket és egyéb IoT-eszközöket használt fel. A kompromittált eszközökből kialakított hálózatot kiberbűnözők különböző műveletekre alkalmazták, többek között DDoS-támadásokra, phishing kampányokra, spamküldésre, csalások támogatására és anonim proxy-szolgáltatás biztosítására.
A nyomozás egy biztonsági kutató bejelentésével indult. Az NCSC elemzése alapján a botnet egy úgynevezett residential proxy infrastruktúraként is működött. Ennek lényege, hogy a támadók fertőzött otthoni eszközök internetkapcsolatát használják közvetítőként, így a rosszindulatú forgalom legitim lakossági IP-címekről érkezik, ami jelentősen megnehezíti a felderítést és a blokkolást.
Az infrastruktúra kapcsolatba hozható az ASocks residential proxy szolgáltatással, amelyet korábban is összefüggésbe hoztak kompromittált fogyasztói eszközök felhasználásával működő proxyhálózatokkal. A holland hatóságok ezt hivatalosan nem erősítették meg, azonban több kutató és sajtóforrás erre utaló jeleket azonosított.
Az incidens jelentőségét az adja, hogy a 17 millió fertőzött eszköz alapján ez az elmúlt évek egyik legnagyobb botnet-felszámolási művelete. A gyengén védett otthoni routerek, IoT-eszközök és mobileszközök továbbra is tömegesen épülnek be proxy- és botnet-infrastruktúrákba, amelyek később kibertámadások, adathalászat és egyéb bűnözői tevékenységek alapját képezik. Az NCSC ezért a gyári jelszavak lecserélését, a WPA2/WPA3 használatát és a firmware-ek rendszeres frissítését javasolja.
