Botnet russo é desarmado em operação cibernética internacional
O Departamento de Justiça dos EUA, juntamente com parceiros de aplicação da lei na Alemanha, Holanda e Reino Unido, desmantelou a infraestrutura de uma botnet russa conhecida como RSOCKS, que invadiu milhões de computadores e outros dispositivos eletrônicos em todo o mundo.
SAN DIEGO – O Departamento de Justiça dos EUA, juntamente com parceiros de aplicação da lei na Alemanha, Holanda e Reino Unido, desmantelou a infraestrutura de uma botnet russa conhecida como RSOCKS, que invadiu milhões de computadores e outros dispositivos eletrônicos em todo o mundo.
Um botnet é um grupo de dispositivos hackeados conectados à Internet que são controlados como um grupo sem o conhecimento do proprietário e normalmente usados para fins maliciosos. Cada dispositivo conectado à Internet recebe um endereço IP (Internet Protocol).
De acordo com uma declaração de mandado de busca, hoje revelado no Distrito Sul da Califórnia, e as próprias reivindicações dos operadores, a botnet RSOCKS, operada por cibercriminosos russos, compreendia milhões de dispositivos hackeados em todo o mundo. O botnet RSOCKS inicialmente visava dispositivos da Internet das Coisas (IoT). Os dispositivos IoT incluem uma ampla gama de dispositivos, incluindo sistemas de controle industrial, relógios de ponto, roteadores, dispositivos de streaming de áudio/vídeo e abridores de portas de garagem inteligentes, que estão conectados e podem se comunicar pela Internet e, portanto, recebem IP atribuído endereços. O botnet RSOCKS expandiu-se para comprometer outros tipos de dispositivos, incluindo dispositivos Android e computadores convencionais.
“O botnet RSOCKS comprometeu milhões de dispositivos em todo o mundo”, disse o procurador dos EUA Randy Grossman. “Os criminosos cibernéticos não escaparão da justiça, independentemente de onde operem. Trabalhando com parceiros públicos e privados em todo o mundo, vamos persegui-los incansavelmente enquanto usamos todas as ferramentas à nossa disposição para interromper suas ameaças e processar os responsáveis.” Grossman agradeceu à equipe de acusação, ao FBI e à Seção de Crimes Informáticos e Propriedade Intelectual do Departamento de Justiça Criminal pelo excelente trabalho neste caso.
“Esta operação interrompeu uma organização de crimes cibernéticos altamente sofisticada baseada na Rússia que realizou invasões cibernéticas nos Estados Unidos e no exterior”, disse a agente especial do FBI Stacey Moy. “Nossa luta contra as plataformas cibercriminosas é um componente crítico para garantir a segurança e a segurança cibernética nos Estados Unidos. As ações que estamos anunciando hoje são uma prova do compromisso contínuo do FBI em buscar agentes de ameaças estrangeiras em colaboração com nossos parceiros internacionais e do setor privado.”
Um serviço de proxy legítimo fornece endereços IP a seus clientes mediante o pagamento de uma taxa. Normalmente, o serviço de proxy fornece acesso a endereços IP que aluga de provedores de serviços de Internet (ISPs). Em vez de oferecer proxies que o RSOCKS havia alugado, o botnet RSOCKS oferecia a seus clientes acesso a endereços IP atribuídos a dispositivos que haviam sido invadidos. Os proprietários desses dispositivos não deram autoridade ao(s) operador(es) RSOCKS para acessar seus dispositivos para usar seus endereços IP e rotear o tráfego da Internet. Um cibercriminoso que quisesse utilizar a plataforma RSOCKS poderia usar um navegador da web para navegar até uma “vitrine” baseada na web ( ou seja,, um site público que permite aos usuários comprar acesso à botnet), que permitia ao cliente pagar para alugar o acesso a um conjunto de proxies por um determinado período diário, semanal ou mensal. O custo de acesso a um conjunto de proxies RSOCKS variou de US$ 30 por dia para acesso a 2.000 proxies a US$ 200 por dia para acesso a 90.000 proxies.
Uma vez adquirido, o cliente pode baixar uma lista de endereços IP e portas associadas a um ou mais servidores de back-end da botnet. O cliente poderia então encaminhar o tráfego malicioso da Internet através dos dispositivos das vítimas comprometidas para mascarar ou ocultar a verdadeira origem do tráfego. Acredita-se que os usuários desse tipo de serviço de proxy estivessem realizando ataques em larga escala contra serviços de autenticação, também conhecidos como preenchimento de credenciais, e anonimizando-se ao acessar contas de mídia social comprometidas ou enviar e-mails maliciosos, como mensagens de phishing.
Conforme alegado no mandado não lacrado, os investigadores do FBI usaram compras secretas para obter acesso à botnet RSOCKS para identificar sua infraestrutura de back-end e suas vítimas. A compra secreta inicial no início de 2017 identificou aproximadamente 325.000 dispositivos de vítimas comprometidos em todo o mundo, com vários dispositivos localizados no condado de San Diego. Por meio da análise dos dispositivos da vítima, os investigadores determinaram que o botnet RSOCKS comprometeu o dispositivo da vítima ao realizar ataques de força bruta. Os servidores backend RSOCKS mantiveram uma conexão persistente com o dispositivo comprometido. Várias grandes entidades públicas e privadas foram vítimas da botnet RSOCKS, incluindo uma universidade, um hotel, um estúdio de televisão e um fabricante de eletrônicos, bem como empresas domésticas e indivíduos. Em três dos locais das vítimas, com o consentimento, os investigadores substituíram os dispositivos comprometidos por computadores controlados pelo governo (ou seja, honeypots), e todos os três foram posteriormente comprometidos pelo RSOCKS. O FBI identificou pelo menos seis vítimas em San Diego.
Este caso foi investigado pelo FBI e está sendo processado pelo procurador assistente dos EUA Jonathan I. Shapiro do Distrito Sul da Califórnia e Ryan KJ Dickey, conselheiro sênior da Seção de Crimes Informáticos e Propriedade Intelectual do Departamento de Justiça Criminal Division. O Departamento de Justiça estende seu agradecimento às autoridades da Alemanha, Holanda e Reino Unido, ao Escritório de Assuntos Internacionais do Departamento de Justiça e à empresa de segurança cibernética do setor privado Black Echo, LLC por sua assistência prestada durante a investigação.
Em setembro de 2020, o diretor do FBI, Christopher Wray, anunciou a nova estratégia do FBI para combater ameaças cibernéticas. A estratégia se concentra em impor riscos e consequências a adversários cibernéticos por meio das autoridades exclusivas do FBI, recursos de classe mundial e parcerias duradouras. As vítimas são incentivadas a relatar o incidente on-line com o Internet Crime Complaint Center (IC3) www.ic3.gov.
Fonte: https://www.justice.gov/