8カ国の警察は今週、犯罪者が世界中の数十万台のルーターを侵害し、デジタル詐欺を行うために使用された住宅用プロキシサービスであるSocksEscortを摘発した。これにより、企業と消費者に数百万ドルの損失がもたらされた。
「SocksEscortは、ランサムウェア、広告詐欺、アカウント乗っ取り、個人情報盗難、ビジネスメール侵害、ロマンス詐欺、パスワードスプレー攻撃など、多くの活動によって数千万ドルの損失の原因となっている」とFBI副次官補のジェイソン・ビルノスキーはThe Registerの独占インタビューで述べた。
水曜日、オーストリア、フランス、オランダのFBI及び法執行機関は、オペレーション・ライトニングの一環として、7カ国にまたがる34のドメインと23台のサーバを差し押さえた。米国はまた、SocksEscortに関連した約350万ドルの暗号資産を凍結した。ルーメンのBlack Lotus LabsおよびShadowserver Foundationなどの民間企業がこの摘発に参加した。
「当局の作戦で押収されたサーバは、確実にさらなる犯罪行為を追跡することができる追加の証拠につながるだろう」とビルノスキーは述べ、FBIおよびパートナーがSocksEscortのプロキシネットワークを使用した下流の犯人を引き続き調査していることを付け加えた。「SocksEscortの顧客ベースは約124,000人のユーザーを持っていたことを知っている」
このタイプのプロキシサービスは、住宅用ルーターと小規模ビジネスデバイスをハックし、侵害されたマシンへのアクセスを大規模詐欺とデジタル犯罪のために売却する。
侵害されたルーターを使用することで、悪意のあるアクターが正当なホームユーザーまたは小規模ビジネスユーザーから発信されたように見せることで、自分の真のオンライン位置と犯罪活動をマスクすることができる。
SocksEscortは、AVReconと呼ばれるボットネットでホームおよび小規模ビジネスのインターネットルーターに感染した。マルウェアは犯人が感染したデバイスを遠隔制御し、インターネットトラフィックを侵害されたルーターを通じて転送することを可能にする。
米国司法省によれば、2020年夏以来、SocksEscortは約369,000の異なるIPアドレスへのアクセスを販売してきた。先月時点で、犯罪ネットワークは顧客に約8,000台の感染したルーターへのアクセスをリストアップしていた。そのうち2,500台は米国にあった。
被害者には、ニューヨークに住んでいた暗号資産取引所の顧客で100万ドル相当の暗号資産を詐欺に遭った者、700,000ドルを詐欺に遭ったペンシルベニア州の製造業、そして100,000ドルを詐欺に遭った現役および退役の米国兵役者がMilitary Starカードを含む。
ルーメンのBlack Lotus Labsは2023年にAVReconを「最近の歴史で見られた小規模オフィス/ホームオフィス(SOHO)ルーターを対象とした最大級のボットネットの1つ」と呼んだ。
「SocksEscortのような最近数年間の違法な住宅用プロキシの増殖は、我々の政府および民間セクターパートナーにとって大きな課題を表している」とビルノスキーは述べた。「このような作戦は金融機関、インターネットサービスプロバイダ、および個人と小規模企業に広範かつポジティブな影響を与える」
プロキシサービスのような継続的なサイバー脅威に対抗するため、FBIは先月オペレーション・ウィンター・シールドを立ち上げ、組織がセキュリティ体制を改善するために講じることができる10の主要な防御措置を提供した。これらの1つ – 定義されたスケジュール上でライフエンドテクを追跡・廃止する – は、古いルーターが住宅用プロキシネットワークに転換されるリスクを軽減するために特に重要である。®
