Прокси-сервисы — распространённый инструмент в арсенале злоумышленников, будь то шпионаж или киберпреступность с финансовой целью. Прокси-сервисы часто используются для сокрытия истинного источника или места вредоносной активности. Они могут быть прибыльным источником дохода для злоумышленников, которые создают их с помощью ботнета и продают доступ к ним другим пользователям, чтобы те могли использовать их схемы, варьирующиеся от распространения вредоносного ПО до кражи данных и DDoS-атак.
Хотя специалистам по кибербезопасности сложно контролировать эти сети, это не невозможно. Эксперты по безопасности из Black Lotus Labs компании Lumen Technologies, компании Spur, специализирующейся на кибербезопасности, и фонда ShadowServer во вторник ликвидировали давно действующий ботнет ngioweb, служивший основой для нескольких вредоносных прокси-сервисов. Кроме того, исследователи Black Lotus Labs зафиксировали, как злоумышленники использовали различные прокси-сервисы, используя ботнет, не только для сокрытия вредоносного трафика, но и для совершения целого ряда киберпреступлений.
«Хотя эта сеть была создана, чтобы предоставить преступникам возможность перенаправлять свой трафик, пользователи злоупотребляли ею и довели её до нынешнего состояния, которое напрямую поддерживает множество других видов вредоносной активности, таких как сокрытие трафика вредоносных программ, подмена учётных данных и фишинг», — написали исследователи в блоге . «Подобные ботнеты представляют серьёзную и постоянную угрозу для легитимных организаций в интернете».
Исследование, проведённое телекоммуникационной компанией, уделяет особое внимание взаимосвязи ngioweb и преступного прокси-сервиса NSOCKS. Ботнет ngioweb, впервые обнаруженный в 2017 году, в основном состоит из маршрутизаторов для малых офисов/домашних офисов (SOHO) и устройств Интернета вещей (IoT), которые были включены в ботнет посредством того, что исследователи классифицируют как «значительное количество» уязвимостей, ориентированных на маршрутизаторы. Исследователи обнаружили, что 80% ботов NSOCKS, а это 35 000 устройств в 180 странах, происходят из ботнета ngioweb.
Дальнейшее исследование Black Lotus Labs выявило, как злоумышленники используют NSOCKS: прокси-серверы, которые можно получить с помощью простого поиска Google и оплаты криптовалютой, могут быть ориентированы на конкретные цели, например, правительственные (.gov) или образовательные (.edu) сайты. Кроме того, настройка NSOCKS позволяет злоумышленникам легко планировать и координировать DDoS-атаки.
«Прокси-ботнеты становятся всё более популярными и, следовательно, более опасными», — говорится в блоге. «Эти сети часто используются преступниками, которые находят уязвимости или крадут учётные данные, что даёт им возможность беспрепятственно внедрять вредоносные инструменты, не раскрывая своего местоположения или личности».
С ботнетом ngioweb и прокси-серверами NSOCKS были связаны как финансово мотивированные, так и государственные организации. Исследовательская группа подразделения 42 компании Palo Alto Networks в марте связала Muddled Libra , группу, связанную со Scattered Spider, с использованием NSOCKS. Trend Micro обнаружила, что группа Pawn Storm (APT28), связанная с Главным разведывательным управлением (ГРУ) России, использует те же устройства, что и те, что были задействованы в ботнете ngioweb.
«Это означает, что многие устройства, зараженные вредоносным ПО ngioweb, вероятно, используются несколькими группами одновременно», — говорится в блоге.
Хотя подобные ботнеты, несомненно, появятся снова в будущем, Black Lotus Labs утверждает, что как корпоративные службы безопасности, так и отдельные пользователи могут принять меры, чтобы предотвратить использование своих компьютеров во вредоносной активности. Защитники корпоративных сетей должны быть осведомлены об атаках со слабыми паролями и следить за подозрительными попытками входа с домашних IP-адресов, которые могут обойти некоторые меры безопасности. Пользователям маршрутизаторов SOHO следует регулярно перезагружать устройства, устанавливать обновления безопасности и заменять маршрутизаторы, поддержка которых прекращена.
Хотя специалистам по кибербезопасности сложно контролировать эти сети, это не невозможно. Эксперты по безопасности из Black Lotus Labs компании Lumen Technologies, компании Spur, специализирующейся на кибербезопасности, и фонда ShadowServer во вторник ликвидировали давно действующий ботнет ngioweb, служивший основой для нескольких вредоносных прокси-сервисов. Кроме того, исследователи Black Lotus Labs зафиксировали, как злоумышленники использовали различные прокси-сервисы, используя ботнет, не только для сокрытия вредоносного трафика, но и для совершения целого ряда киберпреступлений.
«Хотя эта сеть была создана, чтобы предоставить преступникам возможность перенаправлять свой трафик, пользователи злоупотребляли ею и довели её до нынешнего состояния, которое напрямую поддерживает множество других видов вредоносной активности, таких как сокрытие трафика вредоносных программ, подмена учётных данных и фишинг», — написали исследователи в блоге . «Подобные ботнеты представляют серьёзную и постоянную угрозу для легитимных организаций в интернете».
Исследование, проведённое телекоммуникационной компанией, уделяет особое внимание взаимосвязи ngioweb и преступного прокси-сервиса NSOCKS. Ботнет ngioweb, впервые обнаруженный в 2017 году, в основном состоит из маршрутизаторов для малых офисов/домашних офисов (SOHO) и устройств Интернета вещей (IoT), которые были включены в ботнет посредством того, что исследователи классифицируют как «значительное количество» уязвимостей, ориентированных на маршрутизаторы. Исследователи обнаружили, что 80% ботов NSOCKS, а это 35 000 устройств в 180 странах, происходят из ботнета ngioweb.
Дальнейшее исследование Black Lotus Labs выявило, как злоумышленники используют NSOCKS: прокси-серверы, которые можно получить с помощью простого поиска Google и оплаты криптовалютой, могут быть ориентированы на конкретные цели, например, правительственные (.gov) или образовательные (.edu) сайты. Кроме того, настройка NSOCKS позволяет злоумышленникам легко планировать и координировать DDoS-атаки.
«Прокси-ботнеты становятся всё более популярными и, следовательно, более опасными», — говорится в блоге. «Эти сети часто используются преступниками, которые находят уязвимости или крадут учётные данные, что даёт им возможность беспрепятственно внедрять вредоносные инструменты, не раскрывая своего местоположения или личности».
С ботнетом ngioweb и прокси-серверами NSOCKS были связаны как финансово мотивированные, так и государственные организации. Исследовательская группа подразделения 42 компании Palo Alto Networks в марте связала Muddled Libra , группу, связанную со Scattered Spider, с использованием NSOCKS. Trend Micro обнаружила, что группа Pawn Storm (APT28), связанная с Главным разведывательным управлением (ГРУ) России, использует те же устройства, что и те, что были задействованы в ботнете ngioweb.
«Это означает, что многие устройства, зараженные вредоносным ПО ngioweb, вероятно, используются несколькими группами одновременно», — говорится в блоге.
Хотя подобные ботнеты, несомненно, появятся снова в будущем, Black Lotus Labs утверждает, что как корпоративные службы безопасности, так и отдельные пользователи могут принять меры, чтобы предотвратить использование своих компьютеров во вредоносной активности. Защитники корпоративных сетей должны быть осведомлены об атаках со слабыми паролями и следить за подозрительными попытками входа с домашних IP-адресов, которые могут обойти некоторые меры безопасности. Пользователям маршрутизаторов SOHO следует регулярно перезагружать устройства, устанавливать обновления безопасности и заменять маршрутизаторы, поддержка которых прекращена.
