代号为Moonlander的执法行动摧毁了Anyproxy和5socks网络犯罪服务背后的僵尸网络

作为代号为“Operation Moonlander”的国际行动的一部分，当局捣毁了一个与Anyproxy和5socks有 20 年历史的僵尸网络；包括三名俄罗斯人在内的四名男子因运营非法代理网络而被起诉。

美国司法部指控俄罗斯国民阿列克谢·维克托罗维奇·切尔特科夫 (Alexey Viktorovich Chertkov，37 岁)、基里尔·弗拉基米罗维奇·莫罗佐夫 (Kirill Vladimirovich Morozov，41 岁)、亚历山大·亚历山德罗维奇·希什金 (Aleksandr Aleksandrovich Shishkin，36 岁) 和哈萨克斯坦国民德米特里·鲁布佐夫 (Dmitriy Rubtsov，38 岁) 犯有 共谋 和 损坏受保护计算机 罪，罪名是与他人合谋维护、操作并从 Anyproxy 和 5socks 服务中获利。

美国当局与荷兰国家警察局、荷兰公共检察机关（Openbaar Ministerie）、泰国皇家警察局以及网络安全公司 Lumen Technologies 的 Black Lotus Labs 进行了合作。

美国司法部发布的新闻稿写道：“起诉书指控，僵尸网络是通过在路由器所有者不知情的情况下使用恶意软件感染全球（包括美国）旧款无线互联网路由器而创建的。” “安装的恶意软件允许路由器进行重新配置，允许第三方进行未经授权的访问，并将路由器作为代理服务器在 Anyproxy.net 和 5socks.net 网站上出售。这两个网站的域名均由一家总部位于弗吉尼亚州的公司管理，并托管在全球各地的计算机服务器上。”

法庭文件显示，5socks.net 在全球销售了超过 7,000 个代理，收费为每月 9.95 至 110 美元，并通过 Anyproxy 僵尸网络利用受感染的路由器赚取了 4600 万美元。

该网站自2004年运营以来，通过虚假身份注册域名。切尔特科夫和鲁布佐夫因虚假域名注册面临指控。俄克拉荷马州的联邦调查局特工在用户不知情的情况下，在住宅和商业路由器上发现了恶意软件。

Black Lotus Labs Lumen 研究人员发现，每周平均有 1,000 个独立机器人联系土耳其的 C2 服务器，其中大多数受害者在美国，其次是加拿大和厄瓜多尔。

僵尸网络运营商允许加密货币支付，该机器人的目标是物联网和 SOHO 设备。2022年，美国执法机构曾关闭了入侵数百万台设备的俄罗斯RSOCKS僵尸网络。

Black Lotus Labs 发布的报告中写道：“考虑到来源范围，只有约 10% 的恶意软件在 VirusTotal 等热门工具中被检测为恶意软件，这意味着它们能够始终如一地成功避开网络监控工具。此类代理旨在帮助隐藏一系列非法行为，包括广告欺诈、DDoS 攻击、暴力破解或利用受害者数据。”

根据报告，新感染的设备会联系一个由5台服务器组成的土耳其C2网络，这些服务器主要使用80端口。研究人员注意到，其中一台服务器在1443端口上使用UDP，可能用于存储受害者数据。该僵尸网络提供“租用代理”服务，用户可以购买24小时的IP:端口组合访问权限，无需身份验证。系统会检查黑名单以避免被发现，但开放访问权限允许客户进行各种恶意活动，例如广告欺诈、DDoS攻击、暴力破解和数据窃取。

报告总结道：“代理服务已经并将继续对互联网安全构成直接威胁，因为它们允许恶意行为者隐藏在毫无戒心的住宅IP地址背后，使网络监控工具的检测更加复杂。” “随着大量报废设备仍在流通，以及全球继续采用‘物联网’设备，恶意行为者将继续拥有庞大的目标池。在我们对类似NSOCKS和Faceless等僵尸网络的研究中，我们注意到一些知名犯罪集团如何操纵开放访问政策，因为它们经常在犯罪论坛上进行营销。”

本周，美国联邦调查局 (FBI)发布了一条 FLASH 警报，警告称 5Socks 和 Anyproxy 恶意服务正在针对寿命终止 (EOL) 路由器。攻击者利用 EOL 设备漏洞部署恶意软件，并创建僵尸网络用于攻击或代理服务。该警报敦促用户更换受感染的路由器，或通过禁用远程管理并重新启动来防止感染。

寿命终止 (EOL) 路由器缺乏安全更新，容易受到网络攻击。缺乏安全更新使得它们很容易成为攻击者利用已知漏洞（通​​常是通过暴露的远程管理）的攻击目标。

当局的警报指出： “威胁行为者利用设备的已知漏洞上传恶意软件，最终获得设备的root访问权限并更改配置。 中国网络攻击者也利用报废路由器和其他边缘设备的已知漏洞，建立僵尸网络，以掩盖对美国关键基础设施的黑客攻击。”

受感染的路由器形成僵尸网络，用于协同攻击或作为 5Socks 和 Anyproxy 上的代理出售。

一旦安装，该恶意软件就会允许威胁行为者实现持续访问，允许每 60 秒到 5 分钟与设备进行一次定期通信，以保持对客户的控制和可用性。

恶意软件通过启用远程访问的互联网连接设备传播，即使有密码保护，攻击者也可以获得 shell 访问权限。