FBI haalt domein RSocks-proxydienst die met botnet werkte offline

Het Russische RSocks-botnet is offline gehaald door een samenwerkingsverband tussen de Amerikaanse, Duitse, Britse en Nederlandse autoriteiten. Dit botnet bestond volgens de Amerikaanse Justitie uit miljoenen gehackte apparaten.

Het botnet zou bestaan hebben uit iot-apparaten, zoals 'industriële besturingssystemen, tijdklokken, routers, audio-/videostreamingapparaten en slimme garagedeuropeners', maar ook Android-apparaten en computers. RSocks 'verhuurde' deze apparaten als proxies en rekende 30 dollar per dag voor toegang tot 2000 apparaten. Voor 2000 dollar per dag hadden klanten een dag lang 90.000 apparaten tot hun beschikking.

Volgens de DoJ gebruikten klanten van RSocks de dienst om grootschalige aanvallen te plegen op authenticatiediensten, middels credential stuffing. Wie dat vanaf een enkel ip-adres doet, krijgt al gauw te maken met rate limiting. Verder zouden de botnets gebruikt worden om gestolen socialmedia-accounts anoniem te benutten en phishingcampagnes uit te voeren.

De FBI zou zichzelf voorgedaan hebben als klant van RSocks om een idee te krijgen van de omvang van het botnet. Na zelf een set bots gehuurd te hebben, kwam het erachter dat 'tot slaaf gemaakte' apparaten zich in bijvoorbeeld San Diego bevonden. Die hebben ze vervangen door honeypots, die opnieuw besmet werden door RSocks. Op die manier kon de FBI concluderen dat het om brute force attacks ging en dat de besmette apparaten regelmatig contact hadden met de RSocks-servers.

De RSocks-website is vervangen door een bericht van de FBI en de Department of Justice. Daar wordt vermeld dat het domein in handen is van de autoriteiten en er wordt verwezen naar de bekendmaking. Wel is er nog een Archive.org-versie van de site te bekijken. Daar spreekt RSocks van '13 miljoen residentiële proxy's'.

Het lijkt dat er geen arrestaties in de zaak zijn gepleegd, maar dat alleen het domein in beslag genomen is. De DoJ bedankt collega's in Duitsland, Nederland en het VK voor 'assistentie die in de loop van het onderzoek verleend is'.

Rsocks.net, voordat de FBI de boel opdoekte

Door Mark Hendrikman

Redacteur

19-06-2022 • 13:21

32 Linkedin

Reacties (32)

Wijzig sortering
Moet zeggen dat ik op dit gebied een leek ben, maar als ik die gearchiveerde website bekijk lijkt het net alsof het een legitiem bedrijf was, met links zoals 'FAQ', 'News' en 'company'. Ook de schrijfwijze vind ik wel heel erg zakelijk voor iets wat schijnbaar alleen voor criminelen / illegaal gebruikt wordt en wat draait op gehackte apparaten.

... Of waren er ook legitieme(re) doeleinden voor het huren van een 'proxy', waarbij deze op gewone servers draaide?
Nee hoor, boeven worden gewoon steeds professioneler. Zie ook de diverse helpdesks waar je naar verluid best vriendelijk wordt geholpen om geld over te maken voor je met ransomware geïnfecteerde apparaat.
professioneler
Het rare idee dat “criminelen” niet vooruit denken moet achterwege worden gelaten.

De grootste criminelen hebben een stropdas aan en doen onder andere aan belastingontwijking met de mededeling dat het toch echt niet verboden en is en elke andere suggestie smaad en laster is,
de mensen in de gevangenis vallen voor een groot deel onder de noemer handelingsonbekwaam en hebben psyschische stoornissen.
https://nscr.nl/kenmerken...oeften-van-gedetineerden/
De meerderheid (54 tot 80%) van de gedetineerden heeft schulden en 17 tot 34% heeft geen (legaal) inkomen.
Van de gedetineerden is 12 tot 40% problematisch alcoholgebruiker en 15 tot 43% problematisch drugsgebruiker. Problematisch middelengebruik en verslavingsproblematiek komen relatief vaak voor bij veelplegers. Volwassen gedetineerden ervaren ook veel psychische problemen. Circa een kwart heeft bij binnenkomst in detentie last van psychische klachten, met name depressie, angst en psychotische klachten. Ongeveer twee derde van de gedetineerden heeft meerdere psychische stoornissen en/of persoonlijkheidsstoornissen tegelijkertijd.
Belastingontwijking is legaal, als jij daar moeite mee hebt moet je bij de politiek zijn en niet bij de bedrijven die binnen de aan hen opgelegde regels opereren, of maak jij ook graag extra geld over aan de belastingdienst terwijl daar geen enkele noodzaak voor is?
Degene op wie je reageert bedoelt natuurlijk belastingontduiking. Het is flauw om, omdat hij het verkeerde woord gebruikt te doen alsof je de poster niet begrijpt.

Ja het is een subtiel verschil maar je zou kunnen stellen dat als iemand maar genoeg belastingen ontduikt het dermate immoreel is dat je welzeker kan spreken van “crimineel” gedrag. Dat is dan wettelijk wel toegestaan maar iedereen kan met open ogen zien het niet door de beugel kan.
Nee, het is geen subtiel verschil, en als hij ontduiking zou bedoelen dan slaat dit stuk "met de mededeling dat het toch echt niet verboden en is en elke andere suggestie smaad en laster is," ook nergens op.

Derhalve kan ik je mening niet delen.

Daarnaast begrijp je zelf het verschil niet:
"Ja het is een subtiel verschil maar je zou kunnen stellen dat als iemand maar genoeg belastingen ontduikt het dermate immoreel is dat je welzeker kan spreken van “crimineel” gedrag. Dat is dan wettelijk wel toegestaan maar iedereen kan met open ogen zien het niet door de beugel kan."
Sinds wanneer is belastingontduiking legaal?
Het is flauw om, omdat hij het verkeerde woord gebruikt te doen alsof je de poster niet begrijpt.
We hebben afgesproken dat we bepaalde woorden bepaalde betekenissen geven om het gesprek duidelijk te houden. Het had best kunnen zijn dat lblies echt ontwijking bedoelt, want veel mensen zijn het daar ook niet mee eens, zoals je zelf ook al aangeeft.

Verder zegt hij duidelijk:
belastingontwijking met de mededeling dat het toch echt niet verboden en is en elke andere suggestie smaad en laster is
Waaruit je kan opmaken dat hij echt ontwijking bedoeld, want dat is niet illegaal, ontduiking wel.

Dus ik denk eigenlijk dat jij hier een foutje hebt gemaakt, niet lbies of Groningerkoek.
Wat een aparte cijfers... 54 tot 80%, 17 tot 34% enz. Het idee is toch dat het een gemiddelde betreft - wordt elke keer de set aangepast of zo?

Maar daarnaast zeggen deze cijfers ook weer niet alles als je niet dezelfde onderzoeken doet onder niet-gedetineerden.
En op zich stellen dat ze schulden of geldproblemen zouden hebben, ja - dat is ook wel vaak een reden om crimineel te worden vermoed ik. Maar niet elk persoon met schulden wordt crimineel (en andersom ook niet natuurlijk).
De grootste criminelen hebben een stropdas aan en doen onder andere aan belastingontwijking met de mededeling dat het toch echt niet verboden en is
Helemaal mee eens al die fratsen die ze uithalen. En door dit soort toestanden komen er steeds meer regels en wetgeving waar de consument uit eindelijk weer de dupe van is jammer dat wij geen team van juristen kunnen betalen dan wist ik het ook wel.
Zo heb je ook website "stress" test websites, dit is niets anders als een DDOS. Het ligt er denk ik aan hoe goed de controle is of je echt alleen je eigen website test. En dit soort acties komen meestal ook niet vanaf residential machines maar gewoon uit datacenters met goede bandbreedte.

Sowieso kan ik me niet voorstellen dat iemand een legitieme case heeft voor 90.000 proxy's.
Een mechanisme wat je wel eens terug ziet komen is dat je bijvoorbeeld een txt bestandje met een key moet uploaden naar de root van je webserver. De key is iedere keer uniek, en je kan er redelijk vanuit gaan dat alleen de eigenaar bij de root van een website kan.
Wat natuurlijk een zeer discutabele werkwijze is. Stel dat je een shared hostingboer wilt DDoS'en neem je een pakketje bij ze af, inclusief domein, waarna je die test kunt laten slagen.
Ik denk dat je hier eerder op een DNS TXT record doelt.
Nee , ook koppelingen met diensten als google , cloudflare en Microsoft gebruiken dergelijke txt bestandjes om te checken of het domein waarvoor je een dienst aanvraagt ook daadwerkelijk van jou is.
Nee... die gebruiken allemaal DNS TXT records...
Werken met een tekst-bestanden is zelf onmogelijk als je alleen een domain-name hebt, daar zul je eerst een dienst voor aan moeten schaffen....

[Reactie gewijzigd door Zer0 op 19 juni 2022 19:23]

Vaak is er nu primair de dns txt, maar de tekst/HTML of xml verification bestaat bijna bij allemaal ook nog.

HTML file upload
https://support.google.co...08080?hl=en#choose_method

XML file upload
https://www.bing.com/webm...-and-verify-site-12184f8b

[Reactie gewijzigd door Get!em op 19 juni 2022 19:46]

Klopt, maar:
Domain name provider More complex, but is the only way to verify a Domain property. If your domain provider is listed in the verification wizard, then this is a simple process. Domain properties are useful because they include data for all protocol (http/https) and subdomain variations of your property.
Met de upload mogelijkheden kun je alleen eigendom van een site claimen, niet van een domein.
Sowieso kan ik me niet voorstellen dat iemand een legitieme case heeft voor 90.000 proxy's.
Waar trek je de grens? Heeft iemand een legitieme case voor 1 proxy? 2? 10? 100? 1000? Vanaf welk punt is het ineens crimineel?
Zelfs al zou het een bedrijf zijn dat ook legitieme diensten zou aanbieden, het gaat er om in welk geval ze het hier niet leken te doen.

Criminelen lopen er vaak niet mee te koop dat ze iets illegaals doen om aan anderen te verdienen. Dan is het dus ook niet vreemd dat ze de indruk proberen te wekken dat het er betrouwbaar uit ziet. Maar als er nergens duidelijke handelsgegevens op die website stonden, het contact via een vaag telegram account kan gaan en er wat diensten werden aangeboden die niet zomaar legaal zijn dan kan je misschien beter eerst afvragen of het werkelijk legale bedoelingen heeft. Dat is nu kennelijk gedaan.
RSocks LTD is/was ook gewoon een bedrijf, geregistreerd in het Verenigd Koninkrijk.

Zolang je niet gepakt wordt is een legale dekmantel de makkelijkste weg, vooral mbt het accepteren van credit cards en afnemen van producten van derden. Als "oprechte" crimineel is dat allemaal veel lastiger.

Idealiter hadden ze achter de eigenaar aan gegaan, maar die zal zich ergens buiten bereik van de FBI bevinden.

[Reactie gewijzigd door NielsFL op 19 juni 2022 15:37]

Je kan zo legaal zijn als je bent, maar als je niet optreed tegen illegale zaken op jouw netwerk/hardware dan ben je gewoon de klos.

Je kan iets aanbieden, maar dat moet je ook beheren.
Dit soort criminele dienstverlening is wel vaker op deze wijze. Het stereotype dat het dan per definitie shabby moet zijn ligt al lange tijd achter ons. Ransomware komt tegenwoordig bijvoorbeeld ook met uitstekende klantenservice.
Er worden bedragen in USD vermeld. Dan moet je toch via 'follow the money' bij de bron kunnen komen.
Of loopt hier weer alles via crypto?
De oprichter is een Kazachstaan. Denk niet dat de FBI daar veel mee kan qua vervolging.
Crypto is letterlijk een openbaar grootboek van transacties. Begrijp je dat?
Maar niet van geindentificeerde personen...
Gebruikte crypto is vaak moeilijk te volgen ( monero, zcash, dash... )
De crypto currencies die draaien in de blockchain wel.
Wat ik me afvraag is of het toevallig een Russische dienst is of dat ze nu specifiek naar een Russische botnet gezocht hebben vanwege de oorlog (of ieder geval een Russische doelwit en toevallig was deze botnet in vizier gekomen).
Fijn dat ze de "dienst" erachter hebben platgelegd, ik neem aan dat er "ergens" nog wel een lijst is van die duizenden besmette apparaten waardoor er snel weer een nieuwe "dienst" opgetuigd kan worden?
Die criminelen zijn niet heel logisch bezig zeg ik (als echte Hollander): voor 30 dollar heb ik bijna 67 machines per dollar en voor 2000 dollar maar 45 machines per dollar.
Ik heb het idee dat deze al een maandje offline is als ik kijk naar de log van mijn Synology. Ik had deze of blocking bij 1 mislukte inlog poging en de lijst is echt enorm gegroeid met 10 pogingen per minuut 2 maanden lang.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee