Una recente operazione congiunta delle forze dell'ordine olandesi e statunitensi ha portato allo smantellamento di una vasta botnet proxy composta da oltre 7000 dispositivi compromessi, tra cui dispositivi IoT e router end-of-life (EoL). Questi dispositivi, spesso obsoleti e senza più aggiornamenti di sicurezza, sono stati infettati con malware come TheMoon e arruolati a loro insaputa in una rete criminale, utilizzata per offrire servizi proxy anonimi a pagamento.

Secondo il Dipartimento di Giustizia statunitense, gli amministratori della botnet addebitavano agli utenti una quota mensile che variava tra 9 e 110 dollari, ottenendo illecitamente più di 46 milioni di dollari dalla vendita dell'accesso ai router infetti. Il servizio, attivo almeno dal 2004, permetteva ai cybercriminali di nascondere le proprie attività dietro indirizzi IP residenziali e aziendali, complicando così il lavoro degli strumenti di monitoraggio della rete.

Le piattaforme chiuse e l’operazione Moonlander

Le piattaforme anyproxy.net e 5socks.net, entrambe collegate alla stessa infrastruttura botnet, sono state chiuse nell’ambito dell’operazione denominata Moonlander. Secondo le analisi di Lumen Technologies Black Lotus Labs, più della metà dei dispositivi compromessi era situata negli Stati Uniti, ma la rete si estendeva anche in Canada, Ecuador e altre nazioni.

Modalità di compromissione dei dispositivi

La botnet sfruttava vulnerabilità note dei dispositivi EoL per installare malware senza che gli utenti ne fossero consapevoli. Una volta infettati, i dispositivi entravano in contatto con server di comando e controllo situati principalmente in Turchia, ricevendo istruzioni per propagare ulteriormente l’infezione o fornire servizi proxy. In molti casi, la compromissione avveniva semplicemente sfruttando porte aperte e script vulnerabili, senza che fosse necessaria una password.

I rischi e le raccomandazioni

I rischi associati a queste botnet proxy sono molteplici: sono state utilizzate per frodi pubblicitarie, attacchi DDoS, brute-force e persino per sfruttare i dati delle vittime. L’FBI e gli esperti di sicurezza consigliano di riavviare regolarmente i router, installare aggiornamenti di sicurezza, cambiare le password predefinite e sostituire i dispositivi non più supportati. Il problema rimane attuale, poiché milioni di dispositivi IoT e router EoL restano ancora in circolazione, rappresentando un bacino di potenziali nuove infezioni per i criminali informatici.