پایان فعالیت شبکه پراکسی هکرها با همکاری آمریکا و اروپا

کمیته رکن چهارم – نهادهای مجری قانون در ایالات متحده و اروپا با همکاری شرکت‌های خصوصی موفق شدند شبکه پراکسی جرایم سایبری SocksEscort را که از دستگاه‌های لبه‌ای آلوده به بدافزار AVRecon برای لینوکس استفاده می‌کرد، مختل کنند.

به گزارش کمیته رکن چهارم، این عملیات با مشارکت وزارت دادگستری آمریکا (DOJ)، مقامات اروپایی و شرکت امنیتی Black Lotus Labs از شرکت Lumen انجام شد. طبق گزارش منتشرشده، این شبکه به‌طور میانگین حدود ۲۰ هزار دستگاه آلوده در هر هفته در اختیار داشته است.

شبکه پراکسی برای فعالیت‌های مجرمانه

شبکه SocksEscort که نخستین بار در سال ۱۴۰۲ (۲۰۲۳) مستندسازی شد، در واقع بیش از یک دهه فعالیت داشته و به مجرمان سایبری اجازه می‌داد ترافیک اینترنتی خود را از طریق روترهای خانگی و دستگاه‌های شبکه در کسب‌وکارهای کوچک عبور دهند.

این سرویس دسترسی به آدرس‌های IP به‌ظاهر معتبر از ارائه‌دهندگان اینترنتی بزرگی مانند Comcast، Spectrum، Verizon و Charter را تبلیغ می‌کرد؛ IPهایی که می‌توانستند از بسیاری از فهرست‌های مسدودسازی امنیتی عبور کنند.

طبق اعلام وزارت دادگستری آمریکا، از تابستان ۱۳۹۹ (Summer 2020) این سرویس دسترسی به حدود ۳۶۹ هزار آدرس IP مختلف را به فروش رسانده است. تا بهمن ۱۴۰۴ (February 2026) نیز حدود ۸۰۰۰ روتر آلوده در این شبکه فعال بودند که ۲۵۰۰ مورد از آن‌ها در ایالات متحده قرار داشتند.

خسارت‌های مالی

مقامات اعلام کرده‌اند که این شبکه در چندین پرونده جرایم مالی مورد استفاده قرار گرفته است، از جمله:

• سرقت ۱ میلیون دلار رمزارز از یک کاربر در نیویورک
• کلاهبرداری ۷۰۰ هزار دلاری از یک شرکت تولیدی در پنسیلوانیا
• خسارت ۱۰۰ هزار دلاری در کلاهبرداری مرتبط با دارندگان کارت MILITARY STAR

عملیات مشترک بین‌المللی

در جریان این عملیات، مقامات در اتریش، فرانسه و هلند با هماهنگی Europol چندین سرور مرتبط با این شبکه را توقیف کردند.

طبق اعلام یوروپل:

• ۳۴ دامنه اینترنتی توقیف شد
• ۲۳ سرور در ۷ کشور ضبط شد

همچنین مقامات آمریکا ۳.۵ میلیون دلار رمزارز مرتبط با این شبکه را مسدود کردند. در حال حاضر ارتباط تمام دستگاه‌های آلوده با زیرساخت SocksEscort قطع شده است.

بدافزار AVRecon

این شبکه توسط بدافزار AVRecon اداره می‌شد؛ بدافزاری که از اردیبهشت ۱۴۰۰ (May 2021) فعال بوده و تا اواسط سال ۲۰۲۳ بیش از ۷۰ هزار روتر لینوکسی خانگی و اداری را آلوده کرده بود.

پژوهشگران Lumen پیش‌تر با قطع مسیر ارتباطی (null-routing) سرورهای فرماندهی و کنترل (C2) تلاش کردند این بات‌نت را مختل کنند، اما اپراتورهای SocksEscort بعدها فعالیت خود را با ۱۵ سرور C2 جدید از سر گرفتند.

از ابتدای سال ۲۰۲۵ نیز بیش از ۲۸۰ هزار آدرس IP قربانی در این عملیات شناسایی شده است.

بات‌نت جدید KadNap

همزمان با این عملیات، پژوهشگران Black Lotus Labs از شناسایی یک بات‌نت پراکسی جدید به نام KadNap خبر دادند.

این بات‌نت که از مرداد ۱۴۰۴ (August 2025) فعال شده، عمدتاً روترهای ASUS و سایر دستگاه‌های شبکه لبه‌ای را هدف قرار داده و حدود ۱۴ هزار دستگاه را آلوده کرده است.

KadNap از مکانیزم ارتباطی مبتنی بر پروتکل Kademlia DHT برای کشف همتایان استفاده می‌کند، اما پژوهشگران اعلام کرده‌اند که این طراحی دارای ضعف‌هایی است و با مسدودسازی ترافیک مرتبط با سرورهای C2، فعالیت آن تا حدی مختل شده است.

توصیه‌های امنیتی

کارشناسان امنیتی برای جلوگیری از آلوده شدن روترها توصیه می‌کنند:

• روترهای پایان عمر (EOL) را تعویض کنید
• آخرین firmware دستگاه را نصب کنید
• رمز عبور پیش‌فرض مدیریت را تغییر دهید
• در صورت عدم نیاز، مدیریت از راه دور (Remote Management) را غیرفعال کنید