Amerikai, brit, holland és német bűnüldöző szervek közös akcióban kilőtték az orosz üzemeltetésű RSOCKS botnetet. A botnet kiterjedt infrastruktúrája világszerte több millió kompromittált eszközt tartalmazott, állítja az amerikai igazságügyi minisztérium közleménye.

A hatóságok szerint az RSOCKS-ot kezdetben IoT-eszközök ellen vetették be, de széles skálán: elsősorban ipari vezérlőrendszerek, routerek, audio-/videostreaming eszközök voltak a célpontok. Később azonban már szinte bármilyen internetre csatlakoztatott készüléket támadtak, androidos eszközöket éppúgy, mint különböző számítógépes rendszereket.

A botnet is a 2010-es évek első felében megjelent, szolgáltatási modellben kínált hekkereszközök sorát gyarapította. Voltaképpen IP-proxy szolgáltatásként működött (állítólag a frontendje is teljesen úgy épült felé, mint egy hagyományos proxy-szolgáltató megoldása) – csakhogy nem internetszolgáltatóktól vásárolt törvényes IP-címeket kínált ügyfeleinek, azaz kiberbűnözőknek, hanem rosszindulatú szoftverekkel fertőzött eszközök IP-címeihez adott hozzáférést.

A hatóságok szerint az üzemeltetők nem nagyon foglalkoztak a támadott rendszerek biztonsági réseivel, a támadások zömében a legegyszerűbb módon, brute force technikát alkalmazva sikerült kompromittálniuk a célpontokat

Amúgy az ügyfelek a botnetet idő- és teljesítményalapú modellben használhatták, és egy webshopban rendelhették meg. Ami ez előfizetési díjakat illeti, a szolgáltatók nem voltak mohók: 2000 proxy alapára állítólag mindössze 30 dollár volt, de 90 ezer proxy is csak 200 dollár került.

A hatóságok szerint a RSOCKS ügyfelei többek között hitelesítő szolgáltatások elleni támadásokra épp úgy felhasználták a botnetet, mint rosszindulatú e-mailek, adathalász üzenetek küldésére.

Az IoT lett az internet leggyengébb pontja

Egyelőre falra hányt borsó, amit biztonsági szakértők és elemzők évek óta szajkóznak: az IoT-eszközök biztonsága, különösen azoké, melyeket a végfelhasználói piacra szánnak, erősen kérdéses. Periférikusnak tekintik a fejlesztők és a felhasználók is. Utóbbiak többsége például meg sem nyitja a biztonsági beállítások felületét. A szoftverfrissítéseket pedig sokszor még a nagyvállalatok is elhanyagolják, késve telepítik.

Azzal viszont, hogy szabványos online szolgáltatási iparággá kezd alakulni a hekkereszköz-piac, a támadók azonosítása is könnyebb. Az FBI nyomozói például abszolút klasszikus módszert vetettek be: a beépülést (lásd pl. Fedőneve: Donnie Brasco). Persze itt kisebb kockázatot kellett vállalni, mint a maffia ellen fellépő fedett nyomozóknak: egyszerűen hozzáférést vásároltak az RSOCKS-hoz, így belülről tudták azonosítani a backend infrastruktúráját, a támadókat és a célpontokat is. A titkos művelet öt éve indult.

Az áldozatok között vannak nagy állami és magánszervezetek, egyetem, szálloda, televízióstúdió, elektronikai gyártó, de kisvállalkozások és számos magánszemélyek elleni támadásokat is azonosítottak a nyomozók.