De FBI heeft in samenwerking met handhavingsinstanties uit Duitsland, het Verenigd Koninkrijk en Nederland een groot Russisch botnet uit de lucht gehaald. Het botnet, ook wel beter bekend als RSOCKS, had miljoenen apparaten wereldwijd geïnfecteerd. Naast particulieren waren ook computers en IoT-toepassingen van een universiteit, hotel en televisiestudio gehackt.
Dat schrijft het Amerikaanse ministerie van Justitie in een persverklaring.
Een botnet is een netwerk van geïnfecteerde computers of andere (mobiele) apparaten. Een besmet apparaat wordt ook wel een zombie genoemd, degene die het netwerk beheert een botmaster. Eigenaren hebben vaak niet door dat hun hardware onderdeel uitmaakt van een botnet. De beheerder gebruikt de geïnfecteerde apparaten om bijvoorbeeld een Distributed Denial of Service of DDoS-aanval uit te voeren. Hiermee worden servers en websites platgelegd doordat ze bestookt worden met enorme hoeveelheden verbindingsaanvragen.
Naast een DDoS-aanval kan een botnet ook gebruikt worden om internetgebruikers te overspoelen met spamberichten. Hiervoor gebruiken de daders zogeheten Command & Control servers (C&C servers). Deze servers vormen het zenuwcentrum of hoofdkwartier van waaruit hackers gestolen data ontvangen en spam versturen. Met spamberichten proberen oplichters zo veel mogelijk persoonlijke gegevens van nietsvermoedende slachtoffers te bemachtigen. Dit deze vorm van cybercriminaliteit noemen we ook wel phishing.
De botmaster van RSOCKS richtte zich voornamelijk op apparatuur met Internet of Things (IoT-) toepassingen. Dat zijn producten die verbonden zijn met het internet en langs deze weg communiceren met andere apparaten. Denk aan routers, apparaten om video’s en muziek mee te streamen, slimme camera’s en controlesystemen die in het bedrijfsleven worden gebruikt. Deze apparaten hebben dan ook niet voor niets een eigen IP-adres.
Gaandeweg breidde de beheerder van het botnet zijn netwerk uit met Android-apparaten en traditionele computers. Op een gegeven moment bestond RSOCKS uit miljoenen geïnfecteerde apparaten. Hiermee voerde de botmaster diverse brute force attacks uit. Bij een brute force attack proberen cybercriminelen accounts te hacken door een ongelimiteerd aantal gebruikersnamen en wachtwoordcombinaties in te voeren, net zolang totdat er een match is.
Eenmaal onderdeel van het RSOCKS-botnet, werden besmette apparaten gebruikt als proxyservice. Met een proxy is het mogelijk om je eigen IP-adres te verbergen en anoniem over het internet te surfen. In feite fungeert een proxy als tussenstation tussen jou en het internet om je identiteit en locatie te verbergen voor de buitenwereld.
In het geval van RSOCKS wisten de slachtoffers niet dat hun apparatuur werd gebruikt om internetverkeer om te leiden via hun IP-adres. Tegen betaling konden hackers en cybercriminelen besmette apparaten als proxyservice gebruiken. Klanten konden deze proxy’s huren voor een dag, een week of een maand. RSOCKS-proxy’s kostten slechts 30 dollar per dag, waarmee je toegang had tot 2.000 proxy’s. Voor 200 dollar per dag konden kwaadwillenden uit de voeten met 90.000 proxy’s.
Na aankoop kon de klant een lijst van IP-adressen en poorten downloaden die gekoppeld waren aan een of meer van de backend-servers van het botnet. Op deze manier konden gebruikers hun (veelal kwaadaardige) internetverkeer omleiden via besmette apparaten van nietsvermoedende slachtoffers om hun identiteit en locatie te maskeren of verbergen. Volgens het Amerikaanse ministerie van Justitie probeerden afnemers via RSOCKS-proxy’s aanvallen op authenticatiediensten uit te voeren en phishingberichten te versturen.
De website waarop de proxy’s te koop werden aangeboden, is offline gehaald. Naast de FBI hebben handhavingsinstanties uit Duitsland, het Verenigd Koninkrijk en Nederland daarbij geassisteerd. “Deze operatie heeft een zeer geavanceerde, in Rusland gevestigde criminele organisatie ontwricht die cyberinbraken uitvoerde in de Verenigde Staten en daarbuiten”, zo legt een FBI-agent uit.