HackerNews 编译,转载请注明出处:
本周三,美国与欧洲的执法机构联合捣毁了一个提供数千台家用路由器访问权限的网络犯罪平台。
SocksEscort 代理网络允许网络犯罪分子购买受恶意软件感染的路由器的访问权限。犯罪分子可通过受感染的路由器转发其网络活动,以此隐藏自身的地理位置与 IP 地址。
美国司法部表示,2020 年至 2026 年间,SocksEscort 提供了覆盖 163 个国家、约 36.9 万个不同 IP 地址的访问权限;截至今年 2 月,该平台仍上架了约 8000 个 IP 地址,其中 2500 个位于美国境内。
七个国家的执法机构共计查封了 34 个域名,关停了 23 台服务器。美国官方还冻结了价值 350 万美元的加密货币。
在针对 SocksEscort 采取行动的同时,美国联邦调查局(FBI)于周四发布了关于名为 AVRecon 的恶意软件的紧急警报,警告公众该恶意软件的攻击目标为路由器与物联网设备。
威胁行为者 “会入侵路由器、安装 AVRecon 恶意软件,随后通过 SocksEscort 住宅代理服务,将受感染设备的访问权限作为住宅代理出售”。
欧洲刑警组织指出,设备感染该恶意软件后,机主完全不会知晓自己的 IP 地址正被滥用。
欧洲刑警组织执行主任凯瑟琳・德・博勒表示,SocksEscort 这类代理服务 “为犯罪分子提供了发起攻击、传播非法内容、规避检测所需的数字掩护”。
德・博勒在声明中称:“通过拆除这一基础设施,执法机构捣毁了一项为全球范围网络犯罪提供支撑的服务。”
美国官方对支撑 SocksEscort 运作的多个美国境内域名执行了查封令。
法庭文件显示,SocksEscort 网站与数十种不同的网络诈骗相关,包括虚假失业保险申领、加密货币盗窃以及美国银行账户劫持。
据称,SocksEscort 的运营者通过该服务非法获利超 570 万美元。
奥地利、法国、荷兰的执法机构关停了 SocksEscort 的服务器,保加利亚、德国、匈牙利、罗马尼亚的官方也参与了这项始于 2025 年 6 月的调查。美国司法部指出,Lumen 旗下的 Black Lotus Labs、Shadowserver 基金会等私营机构也提供了协助。
Black Lotus Labs 发布了关于 AVRecon 与 SocksEscort 的专项公告,称过去几年间,该平台 “每周平均波及约 2 万名独立受害者,相关通信通过平均 15 个命令与控制(C2)节点进行转发”。
该公司曾在 2023 年表示,AVRecon 僵尸网络是其见过的针对家用 / 办公路由器的最大僵尸网络之一。
一名 FBI 官员向科技媒体 The Register 透露,SocksEscort 拥有 12.4 万名用户,官方计划利用查封的服务器追踪其他网络犯罪活动。
近年来,美国与欧洲的执法机构加大了僵尸网络的捣毁力度,以遏制网络犯罪与国家级攻击活动。自 2021 年以来,QakBot、911 S5、IPStorm、KV、DanaBot、Anyproxy、5socks 等多个僵尸网络均已受到执法机构的查处。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文