Коалиция международных правоохранительных органов и частных партнеров в области кибербезопасности успешно нарушила работу прокси-сети SocksEscort, давно действующей киберпреступной службы, которая использовала исключительно периферийные устройства, зараженные вредоносным ПО AVRecon для Linux. Операция, поддержанная разведданными от Black Lotus Labs (BLL) компании Lumen, проводилась под руководством Министерства юстиции США. По данным BLL, сеть поддерживала постоянную инфраструктуру, в среднем 20 000 скомпрометированных устройств были онлайн каждую неделю в течение нескольких лет. Впервые идентифицированная исследователями в 2023 году, SocksEscort действовала более десяти лет, продавая услуги маршрутизации трафика киберпреступникам, стремящимся анонимизировать свою деятельность через резидентские и малые бизнес-IP-адреса.
Сервис продвигал себя, предлагая доступ к «чистым» IP-адресам от крупных американских интернет-провайдеров, включая Comcast, Spectrum, Verizon и Charter. Эти IP-адреса рекламировались как способные обходить распространенные черные списки, что делало их ценными для мошенничества, перебора учетных данных и других вредоносных кампаний. Министерство юстиции США сообщило, что с лета 2020 года SocksEscort предлагала доступ примерно к 369 000 уникальных IP-адресов. По состоянию на февраль 2026 года ее приложение содержало список около 8 000 зараженных маршрутизаторов, доступных для покупки клиентами, из которых 2 500 находились в Соединенных Штатах, что подчеркивает значительное внутреннее присутствие ботнета.
Ликвидация сети подчеркивает ощутимый финансовый ущерб, причиняемый такими прокси-сервисами. Власти напрямую связали SocksEscort со значительными преступными потерями, включая кражу криптовалюты на сумму 1 миллион долларов у жертвы в Нью-Йорке и мошенническую схему на 700 000 долларов, нацеленную на компанию из Пенсильвании. Предоставляя уровень анонимности, такие сервисы снижают порог входа в киберпреступность, позволяя осуществлять все — от атак с использованием программ-вымогателей и краж данных до финансового мошенничества. Нарушение работы SocksEscort наносит серьезный удар по инфраструктуре киберпреступной экосистемы, удаляя ключевой инструмент, используемый для сокрытия происхождения атак.
Эта операция является частью более широкой тенденции по нацеливанию на фундаментальные сервисы, которые обеспечивают киберпреступность, такие как ботнеты, прокси-сети и брокеры начального доступа. Успех зависел от тесного сотрудничества между государственными органами и командами разведки угроз частного сектора, такими как Black Lotus Labs. Для организаций и частных лиц этот инцидент служит stark напоминанием о важности защиты периферийных сетевых устройств, таких как маршрутизаторы и оборудование IoT, которыми часто пренебрегают. Регулярные обновления прошивки, строгие политики паролей и отключение ненужных функций удаленного управления являются необходимыми шагами для предотвращения вербовки устройств в такие вредоносные сети.
