Site icon Kiber.ba

SAD sankcioniše mrežu za cyber kriminal iza masivnog rezidencijalnog proxy servisa Bothnet

SAD sankcioniše mrežu za cyber kriminal iza masivnog rezidencijalnog proxy servisa Bothnet-Kiber.ba

SAD sankcioniše mrežu za cyber kriminal iza masivnog rezidencijalnog proxy servisa Bothnet-Kiber.ba

Sjedinjene Američke Države su uvele sankcije mreži cyber kriminala odgovornoj za upravljanje masivnim rezidencijalnim proxy bothnet servisom za borbu protiv cyber kriminala.

Ova mreža, 911.re, umiješana je u razne nezakonite aktivnosti. Koristi rezidencijalne IP adrese kako bi anonimizirao zlonamjerni promet i izbjegao otkrivanje.

Mreža 911.re

Usluga 911.re, platforma Residential Proxies As A Service (RPAAS), operativna je od početka 2018.

Prema izvještajima U.S. DEPARTMENT OF THE TREASURY , omogućava korisnicima da iznajmljuju rezidenciju IP adrese, čineći da njihov internet promet izgleda kao da potiče od legitimnih rezidencijalnih korisnika.

Iako se takve usluge mogu koristiti u legitimne svrhe kao što su istraživanja tržišta i SEO, oni također pružaju pokriće za kriminalne aktivnosti, što otežava praćenje zlonamjernog prometa do njegovog izvora.

Karakteristike proizvoda web stranice 911.re

Sveobuhvatni istraživački projekat, započet u januaru 2021. godine, otkrio je opširnu infrastrukturu mreže 911.re.

Istraživanje je otkrilo da 911. radi bez provjere ili verifikacije, dozvoljavajući svakome da iznajmi rezidencijalne čvorove.

Mreža se sastoji od preko 120.000 rezidencijalnih proxy čvorova distribuiranih širom svijeta, sa značajnom koncentracijom u Sjedinjenim Državama, Južnoj Koreji, Peruu i Japanu.

Mreža 911.re regrutuje rezidencijalne čvorove kroz dvije besplatne VPN usluge, Mask VPN i Dew VPN.

Dew VPN binarni certifikat izdat: Grand Media Ltd

Ove aplikacije, koje izgledaju kao legitimne, instaliraju softver na računare korisnika koji ih povezuje na 911.re mrežu bez njihovog informiranog pristanka.

Zaraženi čvorovi održavaju trajnu TCP vezu sa serverima za naredbu i kontrolu (C2) , čineći ih dostupnim za korištenje od strane 911.re klijenata.

Evidencija o osnivanju za Grand Media Limited (UK)

Istraživanje je istaklo nekoliko ranjivosti i potencijalnih eksploatacija povezanih s mrežom 911.re.

To uključuje:

  1. Iskorišćavanje usluga zasnovanih na IP filtriranju : 911. ponovni korisnici mogu pristupiti korisničkim uslugama ISP-a i potencijalno dobiti povjerljive informacije maskirajući se kao rezidencijalni vlasnik proxyja.
  2. Napadi bočnim kretanjem : Infekcija omogućava korisnicima 911.re pristup zajedničkim resursima na lokalnoj mreži i ispitivanje LAN mreže zaraženog čvora.
  3. Trovanje kešom DNS rutera : Napadači mogu otrovati DNS keš memoriju LAN rutera, omogućavajući dalje napade.

Rad mreže 911.re izaziva značajne pravne i etičke probleme.

Vlasnici rezidencijalnih čvorova, često nesvjesni svog učešća, mogli bi se suočiti s krivičnom ili građanskom odgovornošću ako se njihovi računari koriste za zlonamjerne aktivnosti.

Nedostatak informiranog pristanka i mogućnost ozbiljnih pravnih posljedica naglašavaju potrebu za strožim propisima i nadzorom takvih usluga.

Proxygate interface

Kao odgovor na ove nalaze, američka vlada je uvela sankcije entitetima koji stoje iza mreže 911.re.

Sankcije su usmjerene na shell korporacije International Media Ltd i Grand Media Ltd, koje se koriste za potpisivanje binarnih datoteka za Mask VPN i Dew VPN.

Ove mjere imaju za cilj ometanje rada mreže 911.re i pozivanje njenih operatera na odgovornost za njihovu ulogu u omogućavanju cyber kriminala.

Otkrivanje mreže 911.re naglašava rastuću prijetnju rezidencijalnih proxy botneta u okruženju cyber kriminala .

Sankcije SAD predstavljaju ključni korak u borbi protiv ove prijetnje i zaštiti pojedinaca i organizacija od rizika povezanih s takvim uslugama.

Dalja istraživanja i međunarodna saradnja su od suštinskog značaja za rješavanje punog obima mreže i sprečavanje budućih sličnih pretnji.

Indicators of compromise (IOCs)

Binarne datoteke

MD5: a220528f31dceddc955b791b13ac4989 SHA-1:

57a83b83a11b6e27c9e88a7835d8a84744d79bdd SHA-256:

e801fa187027537337d8b4e4bde3a7da95499172f6b1477830a216d0a385518b

MD5: 12059484a8951a8356c60c46f659a35e SHA1:

3916aeaa61a6e97d6c1746b18c05fd77584de5d8 SHA256:

daa21c58a1ace38d1eebcda6fef3502fa3492ccf09fbccfa6ce103c9222d9afc

·maskvpn-setup.exe (2/68 virus total)

MD5: f9634d85ca0138cfddfe6e58fa1c6160 SHA1

5ffa0b96b7257d804beddb87b0a21e871a1296b4 SHA256:

1013eb0e3dbbc16c8b6d0659cca46a084e767b2d9bb8e498e07016bfdb978780

·mask_svc.exe (1/67 virus total)

MD5: c6b1934d3e588271f27a38bfeed42abb

SHA1:08072ecb9042e6f7383d118c78d45b42a418864f

SHA256: 35ec7f4d10493f28d582440719e6f622d9a2a102e40a0bc7c4924a3635a7f5a8

 DewVPN-Setup.exe (1/67 virus total)

MD5: 8e8b072c93246808a7f24554ca593c59

SHA1: d06418cacd11e25af37a41724d55dffc24d6fe5b

SHA256: f422a38d72785c402948c94ae81336383a9fd48167272f29cdc434ce7e51e02b

 dew_svc.exe (0/69 virus total)

MD5: 5feb35a7186a5be50b7aa158866b8aa3

SHA1:c0c7e272f3e48d8dfe559aa5f63ad3a46c76fb9e

SHA256: a8e72d202f9a83e6bdfd03a822fae6d4ee2d4b35a6f73a06e9d59e2e49b3070a

DNS upiti:

IPv4:

98.126.176.51

Odlazni TCP portovi koje koriste Mask VPN i Dew VPN za pokretanje trajne

Izvor:CyberSecurityNews

Exit mobile version