Una red de bots que llevaba funcionando casi dos décadas fue finalmente desmantelada como parte de una operación internacional conocida como “Operación Moonlander”. Esta red estaba detrás de los servicios AnyProxy y 5Socks, que ofrecían proxies residenciales a cibercriminales para ocultar sus huellas online. Cuatro hombres (tres rusos y un ciudadano kazajo) fueron acusados de manejar este negocio ilegal.
El Departamento de Justicia de EE. UU. presentó cargos contra Alexey Chertkov (37), Kirill Morozov (41), Aleksandr Shishkin (36) y Dmitriy Rubtsov (38), señalándolos por conspirar y causar daños a computadoras protegidas, todo mientras operaban y sacaban provecho de AnyProxy y 5Socks.
Este golpe no fue cosa de un solo país: las autoridades estadounidenses trabajaron de la mano con la policía de los Países Bajos, Tailandia y con expertos de ciberseguridad de Black Lotus Labs, parte de Lumen Technologies.
Según el comunicado oficial del Departamento de Justicia, los acusados infectaban routers Wi-Fi antiguos (sí, esos que tal vez aún tienes en casa) con malware, sin que los usuarios se dieran cuenta. Ese malware reconfiguraba los dispositivos para convertirlos en proxies a los que terceros podían acceder, pagando una suscripción en los sitios Anyproxy.net y 5socks.net. Todo esto se administraba desde una empresa registrada en Virginia, pero con servidores esparcidos por todo el mundo.
Los documentos judiciales revelan que solo 5socks.net vendió más de 7,000 proxies en todo el planeta, cobrando entre 10 y 110 dólares al mes. ¿El resultado? Más de 46 millones de dólares generados al aprovecharse de routers infectados, todo gracias a la enorme botnet que lograron construir con AnyProxy.
Conoce más sobre: ¿Qué es una botnet?
Desde hace casi dos décadas, un grupo detrás de los sitios AnyProxy y 5Socks llevaba operando en las sombras, usando identidades falsas para registrar dominios y mantenerse fuera del radar. Ahora, Chertkov y Rubtsov enfrentan cargos por usar información fraudulenta para registrar esos dominios. Mientras tanto, agentes del FBI en Oklahoma descubrieron que muchos routers, tanto en hogares como en negocios, estaban infectados con malware sin que sus dueños tuvieran la menor idea.
Durante la investigación, se encontró que, cada semana, cerca de mil dispositivos distintos se conectaban a servidores de control ubicados en Turquía. La mayoría de estos equipos comprometidos estaban en Estados Unidos, aunque también se detectaron muchos en Canadá y Ecuador.
La botnet era bastante flexible: aceptaba pagos en criptomonedas y estaba diseñada para infectar dispositivos del tipo IoT y routers domésticos o de pequeñas oficinas (los famosos SOHO). El software malicioso apuntaba directamente a dispositivos antiguos que ya no reciben soporte, porque son fáciles de atacar y suelen tener la administración remota activada por defecto.
Lo preocupante es que muchos de estos archivos maliciosos apenas se detectaban: solo alrededor del 10 % era identificado como peligroso por herramientas populares como VirusTotal. Esto les daba a los atacantes una gran ventaja, porque podían esquivar fácilmente los sistemas de monitoreo de red.
Y el negocio era claro: una vez que el dispositivo estaba infectado, se conectaba a una red de control compuesta por varios servidores, principalmente usando el puerto 80. Uno de esos servidores incluso usaba el puerto 1443 por UDP, probablemente para guardar datos robados. La botnet ofrecía un servicio de “alquiler de proxy”, donde los clientes pagaban por acceso a direcciones IP durante 24 horas. No había verificación ni control de identidad; cualquiera podía entrar y empezar a usar esa conexión para lo que quisiera.
¿Para qué lo usaban? Pues para todo tipo de actividades ilegales: fraudes publicitarios, ataques DDoS, intentos de entrar por fuerza bruta a otros sistemas y, por supuesto, para esconderse mientras robaban datos de personas y empresas.
Podría interesarte leer: ¿Qué es la Seguridad de la Red?
Los servicios como AnyProxy y 5Socks son una amenaza seria para la seguridad en internet. Funcionan como una capa de camuflaje para cibercriminales que se esconden detrás de direcciones IP legítimas, lo que complica muchísimo la tarea de rastrearlos. Y lo preocupante es que siguen existiendo miles de dispositivos viejos y vulnerables en circulación. Además, con el crecimiento imparable del Internet de las Cosas (IoT), los atacantes tienen más oportunidades que nunca.
Al analizar casos similares como los de NSOCKS y Faceless, se ha visto un patrón claro: varios grupos criminales explotan el acceso abierto de estos dispositivos y los promocionan abiertamente en foros clandestinos como si fueran servicios legítimos.
La semana pasada, el FBI lanzó una alerta de seguridad (tipo FLASH) sobre 5Socks y AnyProxy. En ella advierten que los atacantes están apuntando a routers que ya están al final de su vida útil (es decir, que ya no reciben actualizaciones ni parches de seguridad), y los están utilizando para instalar malware y formar redes de bots. Recomiendan reemplazar estos dispositivos o, al menos, desactivar el acceso remoto y reiniciarlos para cortar cualquier conexión persistente.
El problema con estos routers “EOL” (end of life) es que, al no tener soporte, se quedan con vulnerabilidades abiertas que los convierten en blancos perfectos. Los cibercriminales los usan para cargar malware, tomar control total del dispositivo y hacer cambios en su configuración que les permiten quedarse dentro sin ser detectados.
Según la alerta, incluso actores vinculados al gobierno chino han aprovechado estas vulnerabilidades para crear redes de bots que sirven para lanzar ataques contra infraestructuras críticas, especialmente en Estados Unidos.
Una vez infectado, el dispositivo queda enganchado a la botnet y empieza a funcionar como proxy para quien pague por él. El malware mantiene una conexión regular, cada 60 segundos o hasta cada cinco minutos, lo que le permite estar siempre disponible para los “clientes”. Además, si el dispositivo tiene el acceso remoto activado, los atacantes pueden entrar directamente, incluso si tiene contraseña.