Ugašen SocksEscort botnet koji je kompromitovao 369.000 rutera širom sveta
Međunarodna policijska operacija „Operation Lightning“ ugasila je SocksEscort proxy mrežu koja je koristila AVrecon malver za kompromitovanje SOHO rutera i IoT uređaja. Botnet je obuhvatao oko 369.000 IP adresa u 163 zemlje, a kompromitovani ruteri proizvođača Cisco, D-Link, Netgear, TP-Link i Zyxel korišćeni su kao rezidencijalni proxy čvorovi za prikrivanje kriminalnog saobraćaja, uključujući finansijske prevare, ransomver i DDoS napade.
Pojašnjenje
Rezidencijalni proxy botneti omogućavaju kriminalcima da sakriju izvor napada iza legitimnih kućnih IP adresa, što otežava detekciju i istragu. Kompromitovani ruteri na mrežnom rubu postaju deo infrastrukture za širi ekosistem sajber kriminala.
Preporuke
- Ažurirati firmware na SOHO ruterima i IoT uređajima
- Zameniti uređaje koji više ne dobijaju bezbednosne zakrpe
- Onemogućiti nepotrebne servisne portove i remote administraciju
- Pratiti neuobičajen mrežni saobraćaj koji potiče sa rutera