Operation Moonlander: neutralizzata botnet attiva dal 2004 che sfruttava router non aggiornati

Le forze di polizia internazionale hanno smantellato una vasta rete botnet attiva almeno dal 2004 che ha compromesso migliaia di router obsoleti per offrire servizi proxy illegali, generando profitti per oltre 46 milioni di dollari.

L'azione congiunta, denominata 'Operation Moonlander', si è svolta con la collaborazione delle autorità statunitensi assieme alla Polizia Nazionale Olandese, al Servizio di Procura Pubblica dei Paesi Bassi (Openbaar Ministerie), alla Polizia Reale Tailandese e con il supporto degli analisti di Black Lotus Labs di Lumen Technologies.

Tre cittadini russi, Alexey Viktorovich Chertkov, Kirill Vladimirovich Morozov e Aleksandr Aleksandrovich Shishkin,  e un cittadino kazako, Dmitriy Rubtsov, sono stati incriminati dal Dipartimento di Giustizia USA per il coinvolgimento nella creazione di due reti di proxy residenziali (Anyproxy e 5socks) traendone profitto illecito.

Gli atti depositati in tribunale mostrano che la botnet aveva compromesso vecchi router wireless in tutto il mondo con malware che consentiva l'accesso non autorizzato agli stessi dispositivi, che potevano così essere venduti come server proxy sulle due reti create dai criminali. I due domini Anyproxy.net e 5socks.net sono risultati essere gestiti da una società con sede in Virginia e ospitati su server in tutto il mondo.

L'elenco dei dispositivi piùncomunemente presi di mira dalla botnet include modelli di router Linksys e Cisco, tra cui: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550; Linksys WRT320N, WRT310N, WRT610N; Cisco M10 e Cradlepoint E100.

I servizi di Anyproxy.net e 5socks.net erano commercializzati con modelli ad abbonamento mensile, da 9,95 dollari a 110 dollari al mese in cripovaluta a seconda delle funzionalità richieste. La possibilità di connettersi ai proxy senza autenticazione e il fatto che solamente in rare situazioni questi venivano rilevati come malevoli dagli strumenti di analisi del traffico, ha reso questi proxy particolarmente adatti a nascondere una serie di attività illecite, da attacchi bruteforce a truffe pubblicitarie, passando dai DDoS.