Efter att ha spårat det i flera år, har US DOJ framgångsrikt beslagtagit det ryska RSocks-botnätet för skadlig programvara denna vecka. Detta botnät uppgavs ha kapat miljontals enheter runt om i världen för dess skadliga operationer.
US DOJ har gjort det med hjälp av FBI, som skötte detta uppdrag tillsammans med polisstyrkorna i några andra europeiska nationer där RSocks underhållit sin infrastruktur. Även om DOJ framgångsrikt har tagit domänen i beslag, tillkännagavs inga arresteringar av operatörerna.
RSocks utnyttjar sina kunder
Proxytjänster som utnyttjar sina kunder i namnet av att tillhandahålla gratis VPN-tjänster är inte nytt, och RSocks är en av de största aktörerna i den branschen. Men det har US DOJ meddelade idag att den framgångsrikt fångat och beslagtagit RSocks infrastruktur efter att ha studerat den i mer än fem år.
Proxynätverk är typiska VPN-liknande tjänster som maskerar användarnas IP-adresser med en annan som väljs från den befintliga poolen av IP-adresser. Och denna pool är en samling av alla dess kunder, som erbjuder sina enheter som en nod för att få den kostnadsfria proxytjänsten.
Men skadliga proxytjänster utnyttjar denna åtkomst genom att kapa sina kunders enheter, installera skadlig programvara och lägga till dem i deras botnät – som i sin tur används för skadliga aktiviteter som nätfiskeattacker, inloggningsförsök, kontoövertagandeförsök etc.
RSocks, i sitt fall, ska ha kapat miljontals datorer, Android-smarttelefoner och IoT-enheter över hela världen för att använda dem som sina proxyservrar och utföra skadliga aktiviteter. För att stoppa det har US DOJ observerat RSocks sedan 2017 för att fånga dem.
Sedan dess brukade DOJ köpa RSocks proxypooler från 30 USD per dag för 2 000 proxyservrar till 200 USD per dag för 90 000 proxyservrar och började kartlägga sin infrastruktur för att hitta de skyldiga. Äntligen har FBI, i en gemensam operation med polisstyrkorna i Tyskland, Nederländerna och Storbritannien, lyckats ta ner botnätet.
Med hjälp av ett fåtal RSocks-kunder ersatte FBI deras RSocks-installerade system med myndighetskontrollerade datorer (som honeypots) för att hitta hur de kapades. När de väl lärde sig, tog de framgångsrikt ner nätverket den här veckan. Dock har inga gripanden meddelats i nuläget.