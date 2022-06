Het Russische Rsocks-botnet is offline gehaald door een samenwerkingsverband tussen de Amerikaanse, Duitse, Britse en Nederlandse autoriteiten. Dit botnet bestond volgens de Amerikaanse Justitie uit miljoenen gehackte apparaten.

Het botnet zou bestaan hebben uit iot-apparaten, zoals 'industriële besturingssystemen, tijdklokken, routers, audio-/videostreamingapparaten en slimme garagedeuropeners', maar ook Android-apparaten en computers. Rsocks 'verhuurde' deze apparaten als proxies en rekende 30 dollar per dag voor toegang tot 2000 apparaten. Voor 2000 dollar per dag hadden klanten en dag lang 90.000 apparaten tot hun beschikking.

Volgens de DoJ gebruikten klanten van Rsocks de dienst om grootschalige aanvallen te plegen op authenticatiediensten, middels credential stuffing. Wie dat vanaf een enkel ip-adres doet, krijgt al gauw te maken met rate limiting. Verder zouden de botnets gebruikt worden om gestolen socialmedia-accounts anoniem te benutten en phishingcampagnes uit te voeren.

De FBI zou zich zelf voorgedaan hebben als klant van Rsocks om een idee te krijgen van de omvang van het botnet. Na zelf een set bots gehuurd te hebben, kwam het erachter dat 'tot slaaf gemaakte' apparaten zich in bijvoorbeeld San Diego bevonden. Die hebben ze vervangen door honeypots, die opnieuw besmet werden door Rsocks. Op die manier kon de FBI concluderen dat het om brute force attacks ging en dat de besmette apparaten regelmatig contact hadden met de Rsocks-servers.

De Rsocks-website is vervangen door een bericht van de FBI en de Department of Justice. Daar wordt vermeld dat het domein in handen is van de autoriteiten en er wordt verwezen naar de bekendmaking. Wel is er nog een Archive.org-versie van de site te bekijken. Daar spreekt Rsocks van '13 miljoen residentiële proxy's'.

Het lijkt dat er geen arrestaties in de zaak zijn gepleegd, maar dat alleen het domein in beslag genomen is. De DoJ bedankt collega's in Duitsland, Nederland en het VK voor 'assistentie die in de loop van het onderzoek verleend is'.