Нидерланды обезвредили ботнет из 17 миллионов заражённых устройств

Полиция Нидерландов совместно с Национальным центром кибербезопасности страны (NCSC) объявила о ликвидации крупной ботнет-инфраструктуры. По масштабу заражения сеть оказалась одной из самых больших за последнее время: под контролем злоумышленников находилось не менее 17 миллионов устройств — компьютеров, планшетов, смартфонов и различной IoT-техники.

Что нашли и что отключили

Бэкенд ботнета опирался на более чем 200 серверов, размещённых на территории Нидерландов. Как сообщили в NCSC, полиция изъяла часть этих серверов у хостинг-провайдера, который предоставлял для них инфраструктуру. После того как выяснилось, что мощности использовались в преступных целях, сам провайдер отключил ботнет.

Официально название сети власти не раскрыли. Однако местное издание NL Times со ссылкой на собственные источники сообщило, что речь идёт о сервисе Asocks — компании, предлагающей резидентные прокси.

Связь с прошлыми расследованиями

Asocks уже фигурировал в отчётах по кибербезопасности. В апреле 2024 года команда Satori Threat Intelligence компании HUMAN раскрыла кампанию PROXYLIB, в рамках которой Android-устройства заражались прокси-модулями от LumiApps и Asocks — то есть телефоны пользователей без их ведома превращались в узлы прокси-сети.

Судя по информации на сайте Asocks, платформа предлагала корпоративные, резидентные и мобильные прокси по подписке стоимостью от 5 до 15 долларов в месяц, а при оптовых покупках от 10 до 100 прокси клиентам давалась скидка 5–15%.

Почему резидентные прокси — это проблема

Сами по себе резидентные прокси не являются чем-то незаконным: у них есть легальные сценарии применения, например обход геоблокировок или повышение приватности в сети. Но, как отмечают эксперты, экосистема таких сервисов остаётся во многом непрозрачной — среди клиентов провайдеров нередко оказываются злоумышленники, которые покупают доступ к скомпрометированным устройствам, чтобы прогонять через них вредоносный трафик и проводить атаки.

«Устройство становится частью ботнета, когда оно доступно злоумышленникам, — пояснили в NCSC. — Получив доступ, атакующие устанавливают вредоносное ПО, позволяющее удалённо управлять устройством. Так оно попадает в сеть, используемую для киберпреступной деятельности».

Как защититься

Дутч-регулятор дал стандартный, но действенный набор рекомендаций для владельцев устройств:

  • своевременно обновлять операционные системы;
  • следить за состоянием пограничных устройств сети — в первую очередь роутеров;
  • использовать надёжные пароли и менять заводские учётные данные;
  • включать двухфакторную аутентификацию везде, где это возможно;
  • устанавливать приложения только из проверенных источников;
  • защищать домашние Wi-Fi-сети протоколами WPA2 или WPA3.

Источник: The Hacker News.